华为 职业 认证 通过 者 权 葵 


通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (h1Wp;/Aleormming.huawei.com/cn) 1 享有 如 下 特权 : 
。 1、 华 为 E-learning 课程 学 习 
0 ” 内容: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
o 方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emalil 地 址 ”到 LeQ 和 WGg@huyawei.com 内 优 权 谍 。 
。 2、 华 为 培训 教材 下 载 
0 内容 : 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 闵 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 ”方式 : 登录 从 为 存 比 学 习 艳 芯 ， 进 入 “从 为 退 训 -> 顾 授 地 加 ， 人 在 具体 课程 页 面 即 可 下 载 教 材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参 与 
0” 内容: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
o 方式 : 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.hnuawei.com/leotniNg/NavigationA ction!lcreateNavi#navilid]=_16 
。 4、 学习 工具 eNSP 
o ENSP/Eniterorise NetWork Simulation Platforml, 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈 现 真实 设备 实景 ; 同时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 ”另外 , 华为 建立 了 知识 分 享 平 台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 
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版 权 声 明 


版 权 所 有 © 华为 技术 有 限 公司 2013。 保留 一 切 权利 。 


本 书 所 有 内 容 受 版 权 法 保护 ， 华 为 拥有 所 有 版 权 ， 但 注 明 引用 其 他 方 的 内 
容 除外 。 未 经 华为 技术 有 限 公司 事先 书面 许可 ， 任 何人 、 任 何 组 织 不 得 将 
本 书 的 任何 内 容 以 任何 方式 进行 复制 、 经 销 、 翻 印 、 存 储 于 信息 检索 系统 
或 使 用 于 任何 其 他 任何 商业 目的 。 

版 权 所 有 侵权 必 究 。 
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华为 认证 系列 教程 
HCNA-HNTD 华 为 网 络 技术 与 设备 


第 2.0 版 本 


华为 认证 体系 介绍 


依托 华为 公司 雄厚 的 技术 实力 和 专业 的 培训 体系 ， 华 为 认证 考虑 
到 不 同 客户 对 ICT 技 术 不 同 层次 的 需求 ， 致 力 于 为 客户 提供 实战 性 、 
专业 化 的 技术 认证 。 


根据 ICT 技 术 的 特点 和 客户 不 同 层次 的 需求 ,华为 认证 为 客户 提供 
面向 十 二 个 方向 的 三 级 认证 体系 。 


HCNA 主 要 面向 IP 网 络 维护 工程 师 ,以 及 其 他 希望 学 习 IP 网 络 知 识 
的 人 士 。HCNA 认 证 在 内 容 上 涵盖 TCP/P 基 础 、 路 由 、 交 换 等 IP 网 络 


通用 基础 知识 以 及 华为 数据 通信 产品 、 通 用 路 由 平 合 YRP 特 点 和 基本 
维护 。 


HCNP-R&S 主 要 面向 企业 级 网 络 维护 工程 师 、 网 络 设计 工程 师 以 
及 和 希望 系统 深入 地 掌握 路 由 、 交 换 、 网 络 调整 及 优化 技术 的 人 士 。 
HCNP-R&S 包 括 IESN( Implementing Enterprise Switching Networks ， 
部 署 企业 级 交换 网 络 ) 、IERNN Implementing Enterprise Routing 
Networks， 部 署 企 业 级 路 由 网 络 ) 、IENP ( Improving Enterprise 
Network Performance， 提升 企 业 级 网 络 性 能 ) 三 个 部 分 。 内 容 上 涵 
盖 IPv4 路 由 技术 原理 深入 以 及 在 VRP 中 的 实现 ; 交换 技术 原理 深入 以 
及 在 VRP 中 的 实现 从 网 络 安全 技术 、 高 可 靠 性 技术 和 和 Qos 技术 等 高 级 
IP 网 络 技术 以 及 在 华为 产品 中 的 实现 。 

HCIE-R&S 骨 在 培养 能 够 熟练 掌握 各 种 IP 网 络 技 术 ;精通 华为 产品 
的 维护 、 诊 断 和 故障 排除 ; 具备 大 型 IP 网 络 规 划 、 设 计 和 优化 的 IP 网 
络 大 师 。 

华为 认证 协助 您 打开 行业 之 窗 ,开启 改变 之 门 ,屹立 在 ICT 世 界 的 
潮 头 浪 尖 ! 
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简介 


本 书 为 HCNA 认 证 培训 教程 ， 专 门 适 用 于 准备 参加 HCNA 考 试 的 学 员 。 对 于 希 
望 通过 在 华为 VRP 平 台 上 进行 实际 操作 和 演练 ， 从 而 加 强 认识 和 理解 数据 通信 
原理 的 在 校 学 生 和 专业 人 员 ， 本 书 也 极 具 参考 价值 。 

内 容 描述 

本 书 共 包含 五 个 Module， 全 面 地 介绍 了 增强 企业 网 络 各 种 重要 特性 所 涉及 的 相 
关 技 术 ， 以 及 这 些 技术 是 如 何在 VRP 上 配置 和 实现 的 。 

Module 1 介绍 了 提升 企业 网 络 效 率 与 可 靠 性 的 相关 技术 ， 内 容 包含 链 路 聚合 、 
VLAN、GARP & GVRP 以 及 WLAN, 

Module 2 介绍 了 企业 网 络 远程 互 连 时 常用 的 WAN 技 术 ， 包 含 HDLC、PPP、 
Frame Relay、PPPDE 和 无线 3G。 

Module 3 介绍 了 基于 华为 路 由 交换 产品 的 企业 网 安全 技术 ， 包 含 ACL、AAA、 
IPSecVPN 和 GRE。 

Module 4 介绍 了 企业 网 管 系统 的 基本 原理 以 及 配置 与 实现 ， 同 时 也 介绍 了 华为 
企业 网 管 系统 eSight 的 诸多 特性 。 

Module 5 介绍 了 IPv6 基 础 、IPv6 路 由 协议 RIPng 和 OSPFv3、 以 及 DHCPv6。 


本 书 的 目的 在 于 : 结合 华为 的 产品 实现 ，3 引 导读 者 从 基础 开始 ， 循 序 渐进 地 熟 


悉 和 掌握 以 路 由 交换 技术 为 核心 的 数据 通信 知识 。 对 于 基础 知识 较为 薄弱 的 读 
者 ， 建 议 严 格 按照 本 书 的 编排 内 容 进 行 顺序 地 阅读 学 习 ; 其 他 读者 可 根据 自身 
的 情况 进行 有 选择 性 地 阅读 学 习 。 

读者 知识 背景 

本 课程 为 华为 认证 HCNA v2.0 进 阶 课程 ， 要 求 读 者 具有 一 定 网 络 知识 背景 或 相 


关 行业 经 验 ， 或 者 已 经 具备 和 掌握 HCNA 入 门 课程 中 的 网 络 知识 和 技能 ; 


本 书 常用 图 标 
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应 用 服务 器 
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Module-0 


企业 网 络 进 阶 


企业 网 络 解决 方案 
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俏 前 


随 着 业务 的 不 断 发 展 ， 企 业 对 网 络 的 要 求 也 在 不 断 提高 。 仅 仅 提 供 数据 传 
输 的 基础 网 络 已 经 不 能 满足 企业 业务 发 展 的 需求 。 如 今 的 企业 网 络 需要 针 
对 不 同业 务 ， 提 供 不 同 的 网 络 服务 ， 还 需要 通过 配置 策略 来 应 对 越 来 越 多 
的 内 部 和 外 部 的 安全 威胁 ， 以 保障 企业 网 络 的 安全 。 因 此 ， 扩 展现 有 的 企 
业 网 络 变 得 越 来 越 有 必要 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved HUAWEI 
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铭 学 习 目标 


学 完 本 课程 成 后 ， 您 应 该 能 : 
。 掌握 企业 网 络 的 体系 结构 
。 掌握 企业 网 络 的 业务 需求 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 
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企业 网 络 架构 





企业 需要 具备 一 个 完整 的 网 络 解决 方案 /才能 支撑 各 种 各 样 的 业务 运转 
。 随 着 业务 不 断 发 展 ， 对 企业 对 网 络 的 各 种 需求 也 在 不 断 增加 。 例 如 : 
用 户 密度 可 能 在 短 时 间 内 快速 增加 ， 用 户 需 要 移动 办 公 ， 此 外 企业 还 需 
要 有 效 地 管理 网 络 中 不 同 的 业务 流量 。 

本 例 中 描述 的 是 一 个 企业 网 络 解决 方案 ， 此 方案 将 网 络 在 逻辑 上 分 为 不 
同 的 区 域 : 接 入 入 泪 聚 、 核 心 区 域 ， 数 据 中 心 区 域 ， DMZ 区 域 ， 企 业 边 
缘 ， 网 络 管理 区 域 等 。 此 网 络 使 用 了 一 个 三 层 的 网 络 架 构 ， 包 括 核心 层 
， 汇 聚 层 ， 接 和 人 层 。 将 网 络 分 为 三 层 架 构 有 诸多 优点 : 每 一 层 都 有 各 自 
独立 而 特定 的 功能 ; 使 用 模块 化 的 设计 ， 便 于 定位 错误 ， 简 化 网 络 拓展 
和 维护 ; 可 以 隔离 一 个 区 域 的 拓扑 变化 ， 避 免 影响 其 他 区 域 。 此 解决 方 
案 能 够 支持 各 种 应 用 对 网 络 的 需求 ， 包 括 高 密度 的 用 户 接 入 ， 移 动 办 公 
VoIP， 视 频 会 议和 视频 监控 的 使 用 等 ， 满 足 了 客户 对 于 可 扩展 性 ， 可 
靠 性 ， 安 全 性 ， 可 管理 性 的 需求 。 


0 160 


扩展 企业 网 络 


by huawel 





企业 网 络 通过 与 电信 服务 供应 商 的 网 络 建立 连接 ， 来 支撑 移动 办 公 和 分 
支 机 构 网 络 的 互联 。 移 动 办 公 的 用 户 只 要 能 够 接 和 网络， 就 可 以 在 任何 
时 间 、 任 何 地 点 访问 到 企业 内 部 网 络 。 
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提升 企业 网 络 性 能 


e 配置 优化 和 宛 余 解决 方案 来 提升 网 络 性 能 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 区 \S Pag@6 7 HUAWEI 





提升 企业 网 络 运作 效率 ， 需 要 优化 网 络 设计 。 在 网 络 中 使 用 匈 余 架构 ， 
可 以 尽 可 能 地 保证 无 论 任何 设备 或 链 路 发 生 故 障 ， 用 户 业 务 都 不 会 被 影 
响 。 双 节点 元 余 设计 作为 企业 网 络 设计 的 一 部 分 ， 增 强 了 网 络 可 靠 性 。 
ee 因为 太 多 的 元 余 节 点 难以 维护 ， 并 且 增 加 了 整体 
开销 。 
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保障 企业 网 络 安全 


e 网 络 威胁 可 能 存在 多 种 形式 ， 可 能 发 生 在 网 络 的 任何 位 置 
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网 络 安全 在 企业 网 络 中 变 得 日 益 重 要 a<VCP/IP 协 议 徐 在 建立 之 初 并 没有 
考虑 到 安全 问题 ， 因 此 ， 企 业 网 络 亟 需 能 够 应 对 内 外 两 种 安全 威胁 的 解 
决 方案 ， 用 来 对 抗 IP 网 络 中 日 益 增 长 的 安全 威胁 。 华 为 网 络 安 全 解决 方 
案 覆 盖 了 终端 安全 管理 ， 业 务 安 全 控制 ， 网 络 攻击 防护 三 大 方面 。 
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e 网 管 软件 的 实时 检测 可 以 提高 网 络 的 可 用 性 。 
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华为 开发 的 eSight 网 管 系统 实现 耻 企 业 资 源 、 服 务 和 用 户 的 统一 管理 ， 
并 且 人 允许 它们 进行 智能 互动 。 此 外 eSight 还 能 够 管理 来 自 其 它 厂 商 的 
设备 ， 比 如 华 三 、 思 科 和 中 兴 的 网 络 设备 以 及 IBM、 惠 普 和 Sun 
Microsystems 的 IT 设备 。 
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下 一 代 企 业 网 络 


Internet 


e 越 来 越 多 的 企业 开始 使 用 云 服务 。 
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随 着 行业 的 不 断 发 展 ， 出 现 了 新 下 代 企 业 解 决 方案 ， 即 云 解 决 方案 。 云 
解决 方案 为 业务 运行 所 需 的 基础 设施 、 平 台 及 软件 提供 了 云 服务 ， 以 此 
来 满足 每 个 客户 的 需求 。 企 业 需 要 建设 云 解 决 方案 所 需 的 数据 中 心 和 基 
础 设施 ， 需 要 使 用 虚拟 化 和 存储 等 技术 ， 推 动 企业 把 云 解 决 方案 运用 到 
所 有 业务 中 ， 从 而 满足 客户 持续 增长 的 业务 需求 。 
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0 220 


十 
总 结 


e 在 企业 网 络 中 的 DMZ 有 什么 功能 ? 
e 核心 层 在 企业 网 络 中 扮演 什么 样 的 角色 ? 
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DMZ(Demilitarized Zone) 即 非 军事 话 区 域 ，DMZ 可 以 理解 为 一 个 不 
同 于 外 网 或 内 网 的 特殊 网 络 区 域 ， 一 般 用 来 存放 企业 的 各 种 公用 服 
务 器 ， 比 如 Web、Mail、FTP 等 。 


， 核 心 层 用 于 高 速 转发 企业 侈 络 内 部 不 同 区 域 间 的 流量 ， 将 内 部 流量 


转发 到 外 部 区 域 ,, 或 将 外 部 流量 转发 到 企业 内 部 。 核 心 层 设 备 必 须 
具备 很 高 的 处 理 和 转发 性 能 。 


谢谢 


Www.huawel.com 
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Module-1 


提升 企业 网 络 的 效率 与 可 靠 性 
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们 前 言 


随 着 网 络 规模 不 断 扩 大 ， 用 户 对 骨干 链 路 的 带宽 和 可 靠 性 提出 了 越 来 越 
的 要 求 。 在 传统 技术 中 ， 常 用 更 换 高 速率 的 接口 板 或 更 换 支 持 高 速率 接 
板 的 设备 的 方式 来 增加 带宽 ， 但 这 种 方案 需要 付出 高 额 的 费用 ， 而 且 不 够 
灵活 。 

采用 链 路 聚合 技术 可 以 在 不 进行 硬件 升级 的 条 件 下 ， 通 过 将 多 个 物理 接口 
捆绑 为 一 个 逻辑 接口 ， 来 达到 增加 链 路 带宽 的 目的 。 在 实现 增 大 带宽 目的 
的 同时 ， 链 路 聚合 采用 备份 链 路 的 机 制 ， 可 以 有 效 的 提高 设备 之 间 链 路 的 
可 靠 性 。 
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@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 链 路 聚合 的 原理 
。 掌握 链 路 聚合 的 配置 
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链 路 聚合 的 应 用 场景 


e 链 路 聚合 一 般 部 署 在 核心 结 点 ， 以 便 提升 整个 网 络 的 数据 吞吐 量 。 
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在 企业 网 络 中 ， 所 有 设备 的 流量 在 转发 到 其 他 网 络 前 都 会 汇聚 到 核心 层 ， 
再 由 核心 区 设备 转发 到 其 他 网 络 \。 或 者 转发 到 外 网 。 因 此 ， 在 核心 层 设 
备 负责 数据 的 高 速 交换 时 ， 容 易 发 生 拥 塞 。 在 核心 层 部 署 链 路 聚合 ， 忆 
以 提升 整个 网 络 的 数据 吞吐 量 ,解决 拥塞 问题 。 本 示例 中 ， 两 台 核 心 交 
换 机 SWA 和 SWB 之 间 通 过 两 条 成 员 链 路 互相 连接 ， 通 过 部 署 链 路 聚合 ， 
可 以 确保 SWA 和 SWB 之 间 的 链 路 不 会 产生 拥塞 。 
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链 路 聚合 


SWA SWB 


辐 Eth-Trunk | 


e 链 路 聚合 能 够 提高 链 路 带宽 ， 增 强 网 络 可 用 性 ， 支 持 负 载 分 担 。 
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链 路 聚合 是 把 两 台 设 备 之 间 的 多 条 物理 和 链 路 聚合 在 一 起 ， 当 做 一 条 逻辑 
链 路 来 使 用 。 这 两 台 设 备 可 以 是 一 对 路 由 器 ， 一 对 交换 机 ， 或 者 是 一 合 
路 由 器 和 一 台 交 换 机 。 一 条 聚合 链 路 可 以 包含 多 条 成 员 链 路 ， 在 ARG3 
系列 路 由 器 和 X7 系 列 交 换 栅 上 默认 最 多 为 8 条 。 

链 路 聚合 能 够 提高 链 路 带宽 。 理 论 上 ， 通 过 聚合 几 条 和 链 路 ， 一 个 聚合 口 
的 带宽 可 以 扩展 为 所 有 成 员 口 带宽 的 总 和 ， 这 样 就 有 效 地 增加 了 逻辑 链 
路 的 融 宽 。 

链 路 聚合 为 网 络 提供 了 高 可 靠 性 。 配 置 了 链 路 聚合 之 后 ， 如 果 一 个 成 员 
接口 发 生 故 障 ， 该 成 员 口 的 物理 链 路 会 把 流量 切换 到 另 一 条 成 员 链 路 上 
链 路 聚合 还 可 以 在 一 个 聚合 口上 实现 负载 均衡 ， 一 个 聚合 口 可 以 把 流量 
分 散 到 多 个 不 同 的 成 员 口 上 ， 通 过 成 员 链 路 把 流量 发 送 到 同一 个 目的 地 
， 将 网 络 产生 拥塞 的 可 能 性 降 到 最 低 。 
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链 路 聚合 模式 


SWA SWB 
于 手工 负载 分 担 模式 本 


SWA SWB 


司 LACP 模 式 SS] 


Active Backup 


e 手工 负载 分 担 模式 下 所 有 活动 接口 都 参与 数据 的 转发 ， 分 担负 载 流量 。 
e LACP 模 式 支 持 链 路 备份 。 
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链 路 聚合 包含 两 种 模式 : 手动 负载 均衡 模式 和 静态 LACP (Link 
Aggregation Control Protocol) 模式 。 

手工 负载 分 担 模式 下 ，Eth-Trunk 的 建立 、 成 员 接 口 的 加 入 由 手工 配置 ， 
没有 链 路 聚合 控制 协议 的 参与。 该 模式 下 所 有 活动 链 路 都 参与 数据 的 转 
发 ,平均 分 担 流量 ,, 因此 称 为 负载 分 担 模式 。 如 果 某 条 活动 链 路 故障 ， 
链 路 聚合 组 自动 在 剩余 的 活动 链 路 中 平均 分 担 流量 。 当 需要 在 两 个 直 连 
设备 间 提 供 二 个 较 大 的 链 路 带宽 而 设备 又 不 支持 LACP 协 议 时 ， 可 以 使 
用 手工 负载 分 担 模 式 。ARG3 系 列 路 由 器 和 X7 系 列 交 换 机 可 以 基于 目的 
MAC 地 址 入 源 MAC 地 址 ， 或 者 基于 源 MAC 地 址 和 目的 MAC 地 址 ， 源 IP 
地 址 入 目的 上 地 址 ， 或 者 基于 源 IP 地 址 和 目的 IP 地 址 进行 负载 均衡 。 

在 静态 LACP 模 式 中 ， 链 路 两 端的 设备 相互 发 送 LACP 报 文 ， 协 商 聚 合 参 
数 。 协 商 完 成 后 ， 两 台 设 备 确定 活动 接口 和 非 活动 接口 。 在 静态 LACP 
模式 中 ， 需 要 手动 创建 一 个 Eth-Trunk 口 ， 并 添加 成 员 口 。LACP 协 商 选 
举 活 动 接 口 和 非 活动 接口 。 静 态 LACP 模 式 也 叫 M:N 模 式 。M 代 表 活 动 成 
员 链 路 ， 用 于 在 负载 均衡 模式 中 转发 数据 。N 代 表 非 活动 链 路 ， 用 于 苑 
余 备 份 。 如 果 一 条 活动 链 路 发 生 故 障 ， 该 链 路 传输 的 数据 被 切换 到 一 条 
优先 级 最 高 的 备份 链 路 上 ， 这 条 备份 链 路 转变 为 活动 状态 。 

两 种 链 路 聚合 模式 的 主要 区 别 是 : 在 静态 LACP 模 式 中 ， 一 些 链 路 充当 
备份 链 路 。 在 手动 负载 均衡 模式 中 ， 所 有 的 成 员 口 都 处 于 转发 状态 。 
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数据 流 控制 


SWA SWB 


E Eth-Trunk 


e Eth-Trunk 链 路 两 端 相连 的 物理 接口 的 数量 、 速 率 、 双 工 方式 流 控 方 式 
必须 一 致 。 
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在 一 个 聚合 口中 ， 聚 合 链 路 两 端的 物理 向 ( 即 成 员 口 ) 的 所 有 参数 必须 
一 致 ， 包 括 物理 口 的 数量 ， 传 输 速 率 ， 双 工 模式 和 流量 控制 模式 。 成 员 
口 可 以 是 二 层 接口 或 三 层 接口 ， 

数据 流 在 聚合 链 路 上 传输 三 数据 顺序 必须 保持 不 变 。 一 个 数据 流 可 以 看 
做 是 一 组 MAC 地 址 和 人 慌 地 在 相 同 的 帧 。 例 如 ， 两 台 设 备 间 的 Telnet 或 
FTP 连 接 可 以 看 做 地 侈 数据 流 。 如 果 未 配置 链 路 聚合 ， 只 是 用 一 条 物理 
链 路 来 传输 数据 ， 那 么 一 个 数据 流 中 的 帧 总 是 能 按 正 确 的 顺序 到 达 目 的 
地 。 配 置 了 链 路 聚合 后 ， 多 条 物理 链 路 被 绑 定 成 一 条 聚合 链 路 ， 一 个 数 
据 流 中 的 帧 通过 不 同 的 物理 链 路 传输 。 如 果 第 一 个 帧 通过 一 条 物理 链 路 
传输 第 三 个 帧 通过 另外 一 条 物理 链 路 传输 ， 这 样 一 来 同一 数据 流 的 第 
二 个 数据 帧 就 有 可 能 比 第 一 个 数据 帧 先 到 达 对 端 设备 ， 从 而 产生 接收 数 
据 包 乱 序 的 情况 。 

为 了 避免 这 种 情况 的 发 生 ，Eth-Trunk 采 用 逐 流 负载 分 担 的 机 制 ， 这 种 机 
制 把 数据 帧 中 的 地 址 通过 HASH 算 法 生成 HASH-KEY 值 ， 然 后 根据 这 个 
数值 在 Eth-Trunk 转 发 表 中 寻找 对 应 的 出 接口 ， 不 同 的 MAC 或 iP 地址 
HASH 得 出 的 HASH-KEY 值 不 同 ， 从 而 出 接口 也 就 不 同 ， 这 样 既 保证 了 
同一 数据 流 的 帧 在 同一 条 物理 链 路 转发 ， 又 实现 了 流量 在 聚合 组 内 各 物 
理 链 路 上 的 负载 分 担 ， 即 逐 流 的 负载 分 担 。 逐 流 负载 分 担 能 保证 包 的 顺 
序 ， 但 不 能 保证 带宽 利用 率 。 

负载 分 担 的 类 型 主要 包括 以 下 几 种 ， 用 户 可 以 根据 具体 应 用 选择 不 同 的 
负载 分 担 类 型 。 
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NE 


0 340 


根据 报 文 的 源 MAC 地 址 进行 负载 分 担 ; 

根据 报 文 的 目的 MAC 地 址 进行 负载 分 担 ; 

根据 报 文 的 源 IP 地 址 进行 负载 分 担 ; 

根据 报 文 的 目的 IP 地 址 进行 负载 分 担 ; 

根据 报 文 的 源 MAC 地 址 和 目的 MAC 地 址 进行 负载 分 担 ; 
根据 报 文 的 源 IP 地 址 和 目的 IP 地 址 进行 负载 分 担 ; 


根据 报 文 的 VLAN、 源 物理 端口 等 对 L2、1IPv4、1IPv6 和 MPLS 报 文 进 
行 增强 型 负载 分 担 。 





二 层 链 路 聚合 配置 


GO/0/1 GO/0/1 


GO0/0/2 GO/0/2 


SWR] interface Eth-Trunk 1 


SWA-Eth-Trunkl]interface GigabitEt 
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本 例 中 ， 通 过 执行 interface Eth-trunk_/ztrunk-id> 命 令 配 置 链 路 聚合 。 

这 条 命令 创建 了 一 个 Eth-Trunk 甩 ， 六 且 进 入 该 Eth-Trunk 口 视图 。trunk- 

io 用 来 唯一 标识 一 个 Eth-Trunk 口 》 该 参数 的 取 值 可 以 是 0 到 63 之 间 的 任 

何 一 个 整数 。 如 果 指 定 的 Eth-Trunk 口 已 经 存在 ， 执 行 interface eth- 

trunk 命 令 会 直接 进入 该 Eth-Trunk 口 视图 。 

配置 Eth-Trunk 口 和 成 员 口 ， 需 要 注意 以 下 规则 : 

1. 只 能 删除 不 包含 任何 成 员 口 的 Eth-Trunk 口 。 

2.， 把 接 后 加 入 Eth-Trunk 口 时 ， 二 层 Eth-Trunk 口 的 成 员 口 必须 是 二 层 接 

口 ， 三 层 Eth-Trunk 口 的 成 员 口 必须 是 三 层 接口 。 

一 个 Eth-Trunk 口 最 多 可 以 加 入 8 个 成 员 口 。 

加 入 Eth-Trunk 口 的 接口 必须 是 hybrid 接 口 (默认 的 接口 类 型 ) 。 

一 个 Eth-Trunk 口 不 能 充当 其 他 Eth-Trunk 口 的 成 员 口 。 

一 个 以 太 接口 只 能 加 入 一 个 Eth-Trunk 口 。 如 果 把 一 个 以 太 接口 加 入 

另 一 个 Eth-Trunk 口 ， 必 须 先 把 该 以 太 接口 从 当前 所 属 的 Eth-Trunk 口 

中 删除 。 

7. 一 个 Eth-Trunk 口 的 成 员 口 类 型 必须 相同 。 例 如 ， 一 个 快速 以 太 口 人 
FE 口 ) 和 一 个 千 兆 以 太 口 (GE 口 ) 不 能 加 入 同一 个 Eth-Trunk。 

8.， 位 于 不 同 接口 板 (LPU) 上 的 以 太 口 可 以 加 入 同一 个 Eth-Trunk 口 。 
如 果 一 个 对 端 接口 直接 和 本 端 Eth-Trunk 口 的 一 个 成 员 口 相连 ， 该 对 
端 接 口 也 必须 加 入 一 个 Eth-Trunk 口 。 否 则 两 端 无 法 通信 。 


0 OCA 
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9， 如 果 成 员 口 的 速率 不 同 ， 速 率 较 低 的 接口 可 能 会 拥塞 ， 报 文 可 能 会 


被 丢弃 。 
10. 接口 加 入 Eth-Trunk 口 后 ，Eth-Trunk 口 学 习 MAC 地 址 ， 成 员 口 不 再 
学 习 。 
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查看 链 路 聚合 信息 





e 两 个 成 员 接 口 已 经 被 绑 定 到 Eth-trunk 1。 
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执行 display interface eth-trunk。<truiksid> 命 令 ， 可 以 确认 两 台 设备 间 
是 否 已 经 成 功 实现 链 路 聚合 。 也 可 以 使 用 这 条 命令 收集 流量 统计 数据 ， 
定位 接口 故障 。 如 果 Eth-Trunk 口 处 于 UP 状态 ， 表 明 接 口 正 常 运 行 。 如 
果 接 口 处 于 Down 状 态 ， 表 明 所 有 成 员 口 物理 层 发 生 故 障 。 如 果 管 理 员 
手动 关闭 端口 ， 接 口 处 于 Administratively DOWN 状 态 。 可 以 通过 接口 
状态 的 改变 发 现 接 日 故障 ， 所 有 接口 正常 情况 下 都 应 处 于 Up 状态 。 


0 370 


三 层 链 路 聚合 配置 


GO/0/1 GO/0/1 


GO0/0/2 GO/0/2 


TA-Eth-Trunkl] ip addres 
[RTA-Eth-Trunkl]quit 


A]interface GigabitEthernet 0/( 





by huawel 





如 果 要 在 路 由 器 上 配置 三 层 链 路 聚合 此 需要 首先 创建 Eth-Trunk 接 口 ， 然 
后 在 Eth-Trunk 逻 辑 口上 执行 undo portswitch 命 令 ， 把 聚合 链 路 从 二 层 
转 为 三 层 链 路 。 执 行 undo portswitch 命 令 后 ， 可 以 为 Eth-Trunk 逻 辑 口 
分 配 一 个 IP 地 址 。 
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查看 链 路 聚合 信息 





e 两 个 成 员 接 口 已 经 被 绑 定 到 Eth-trunk 1。 
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执行 display interface eth-trunk.<trunjsid> 命 令 ， 可 以 确认 两 台 设 备 间 
是 否 已 经 成 功 实现 链 路 聚合 。 也 可 以 使 用 这 条 命令 收集 流量 统计 数据 ， 
定位 接口 故障 。 如 果 Eth-Trunk 口 处 于 UP 状态 ， 表 明 接 口 正 常 运行 。 如 
果 接 口 处 于 Down 状 态 ， 表 明 所 有 成 员 口 物理 层 发 生 故 障 。 如 果 管 理 员 
手动 关闭 端口 ， 接 口 处 于 Administratively DOWN 状 态 。 可 以 通过 接口 
状态 的 改变 发 现 接 日 故障 ， 所 有 接口 正常 情况 下 都 应 处 于 Up 状态 。 
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2. 


0 400 


总 结 


e 如 果 一 个 管理 员 希 望 将 干 兆 以 太 口 和 百 兆 以 太 口 加 入 同一 个 Eth-trunk， 
会 发 生 什么 ? 
e 哪 种 链 路 聚合 方法 可 以 使 用 链 路 备份 ? 
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， 一 个 快速 以 太 口 (FE 口 ) 和 一 个 坟 粮 以 太 口 (GE 口 ) 不 能 加 入 同一 


个 Eth-Trunk。 如 果 将 两 个 不 同类 型 的 接口 加 入 到 同一 个 Eth-Trunk 口 ， 
设备 会 提示 发 生 错 误 。 


只 有 LACP 模 式 支 持 备份 成 员 链 路 。 如 需 建立 备份 链 路 ， 应 使 用 LACP 


模式 的 链 路 聚合 。 


谢谢 


Www.huawel.com 
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VLAN 原 理 和 配置 





0 420 


俏 前 言 


随 着 网 络 中 计算 机 的 数量 越 来 越 多 ， 传 统 的 以 太 网 络 开始 面临 冲突 严重 、 
广播 泛滥 以 及 安全 性 无 法 保障 等 各 种 问题 。 


VLAN (Virtual Local Area Network) 即 虚拟 局 域 网 ， 是 将 一 个 物理 的 局 域 网 
在 逻辑 上 划分 成 多 个 广播 域 的 技术 。 通 过 在 交换 机 上 配置 VYLAN， 可 以 实现 
在 同一 个 VLAN 内 的 用 户 可 以 进行 二 层 互 访 ， 而 不 同 VLAN 间 的 用 户 被 二 层 


隔离 。 这 样 既 能 够 隔离 广播 域 ， 又 能 够 提升 网 络 的 安全 性 。 
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侈 兰 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 理解 VLAN 的 工作 原理 
。 掌握 VLAN 的 基本 配置 
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传统 以 太 网 


e 随 着 主机 数量 的 增加 ， 共 享 网 络 中 的 冲突 会 越 来 越 严 重 ， 交 换 网 络 中 的 
广播 也 会 越 来 越 多 。 
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早期 的 局 域 网 LAN 技 术 是 基于 总 线 型 结构 的 ， 它 存在 以 下 主要 问题 : 
1， 若 某 时 刻 有 多 个 节点 同时 试图 发 送 消 息 ， 那 么 它们 将 产生 冲突 。 
2， 从 任意 节点 发 出 的 消息 都 会 被 发 送 到 其 他 节点 ， 形 成 广播 。 

3. 所 有 主机 共享 一 条 传输 通道 ， 无 法 控制 网 络 中 的 信息 安全 。 

这 种 网 络 构 成 也 个 冲突 域 ， 网 络 中 计算 机 数量 越 多 ， 冲 突 越 严重 ， 网 
络 效率 越 低 。 同时 An 该 网 络 也 是 一 个 广播 域 ， 当 网 络 中 发 送信 息 的 计算 
机 数量 越 多 时 ， 信 播 流量 将 会 耗费 大 量 市 宽 。 

因此 ， 传 统 局 域 网 不 仅 面 临 冲突 域 太 大 和 广播 域 太 大 两 大 难题 ， 而 且 无 
法 保障 传输 信息 的 安全 。 

为 了 扩展 传统 LAN ， 以 接 入 更 多 计算 机 ， 同 时 避免 冲突 的 恶化 ， 出 现 了 
网 桥 和 二 层 交 换 机 ， 它 们 能 有 效 隔离 冲突 域 。 网 桥 和 交换 机 采用 交换 方 
式 将 来 自 入 端口 的 信息 转发 到 出 端口 上 上， 克服 了 共享 网 络 中 的 冲突 问题 
。 但 是 ， 采 用 交换 机 进行 组 网 时 ， 广 播 域 和 信息 安全 问题 依旧 存在 。 

为 限制 广播 域 的 范围 ， 减 少 广播 流量 ， 需 要 在 没有 二 层 互 访 需求 的 主机 
之 间 进 行 隔离 。 路 由 器 是 基于 三 层 IP 地 址 信息 来 选择 路 由 和 转发 数据 的 
， 其 连接 两 个 网 段 时 可 以 有 效 抑制 广播 报 文 的 转发 ， 但 成 本 较 高 。 因 此 
， 人 们 设想 在 物理 局 域 网 上 构建 多 个 逻辑 局 域 网 ， 即 VLAN。 
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VLAN 技 术 


e VLAN 能 够 隔离 广播 域 。 
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VLAN 技 术 可 以 将 一 个 物理 局 域 网 在 逻辑 士 划 分 成 多 个 广播 域 ， 也 就 是 
多 个 VLAN。VLAN 技 术 部 署 在 数据 链 路 层 ， 用 于 隔离 二 层 流量 。 同 一 个 
VLAN 内 的 主机 共享 同一 个 广播 域 ， 它 们 之 间 可 以 直接 进行 二 层 通 信 。 
而 VLAN 间 的 主机 属于 不 同 的 广播 域 ， 不 能 直接 实现 二 层 互 通 。 这 样 ， 
广播 报 文 就 被 限制 在 各 个 相应 的 VLAN 内 ， 同 时 也 提高 了 网 络 安 全 性 。 
本 例 中 ， 原 本 属于 同一 广播 域 的 主机 被 划分 到 了 两 个 VLAN 中 ， 即 ， 
VLAN1 和 VLAN2。VLAN 内 部 的 主机 可 以 直接 在 二 层 互相 通信 ，VLAN1 
和 VLAN2 之 间 的 主机 无 法 直接 实现 二 层 通 信 。 


VLAN 帧 格式 


6 bytes 6 bytes 2 bytes 46-1500 bytes 





DMAC SMAC Type [BE1E] 没有 携带 Tag 的 帧 


6 bytes 6 bytes 4bytes 2 bytes 46-1500 bytes 4 bytes 








DMAC SMAC Tag Type Data 让 | 携带 Tag 的 帧 


0x8100 PRI CFI VLANID (12b) 


TPID TCI 
2 bytes 2 bytes 


。 通过 Tag 区 分 不 同 VLAN。 
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VLAN 标 签 长 4 个 字 节 ， 直 接 添 加 在 以 太 网 帧 头 中 ，IEEE802.1Q 文 档 对 
VLAN 标 签 作 出 了 说 明 。 
TPID: Tag Protocol ldentifier) 2 字 节 ， 固 定 取 值 ，0x8100， 是 IEEE 定 
义 的 新 类 型 ， 表明 这 是 一 个 携带 802.1Q 标 签 的 巾 。 如 果 不 支持 802.1Q 
的 设备 收 到 这 样 的 帧 , 会 将 其 丢弃 。 
TCI: Tag Control( InWformation，2 字 节 。 帧 的 控制 信息 ， 详 细 说 明 如 下 : 
1. Priority:N3 比 特 ， 表 示 帧 的 优先 级 ， 取 值 范围 为 0 一 7， 值 越 大 优 
先 级 越 高 。 当 交 换 机 阻塞 时 ， 优 先 发 送 优先 级 高 的 数据 帧 。 
2^、CFI:; ”Canonical Format Indicator，1 上 比特。CFI 表 示 MAC 地 址 是 
否 是 经 典 格 式 。CFI 为 0 说 明 是 经 典 格 式 ，CFI 为 1 表示 为 非 经 典 
格式 。 用 于 区 分 以 太 网 帧 、FDDI (Fiber Distributed Digital 
Interface) 帧 和 令 牌 环 网 帧 。 在 以 太 网 中 ，CFI 的 值 为 0。 
3. ” VLAN Identifier: VLAN ID，12 比 特 ， 在 X7 系 列 交换 机 中 ， 可 配 
置 的 VLAN 1ID 取 值 范围 为 0 一 4095， 但 是 0 和 4095 在 协议 中 规定 
为 保留 的 VLAN ID ， 不 能 给 用 户 使 用 。 
在 现 有 的 交换 网 络 环境 中 ， 以 太 网 的 帧 有 两 种 格式 : 
没有 加 上 VLAN 标 记 的 标准 以 太 网 帧 (untagged frame) ; 有 VLAN 标 记 
的 以 太 网 帧 (tagged frame) 。 
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链 路 类 型 


e 用 户主 机 和 交换 机 之 间 的 链 路 为 接 入 链 路 ， 交 换 机 与 交换 机 之 间 的 链 路 
为 干道 链 路 。 
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VLAN 链 路 分 为 两 种 类 型 : Access 链 路 和 Trunk 链 路 。 

接 入 链 路 (Access Link) : 连接 用 户主 机 和 交换 机 的 链 路 称 为 接 入 链 路 
。 如 本 例 所 示 ， 图 中 主机 和 交换 机 之 间 的 链 路 都 是 接 入 链 路 。 

干道 链 路 (Trunk Link) % 连接 交换 机 和 交换 机 的 链 路 称 为 干道 链 路 。 
如 本 例 所 示 ， 图 中 交换 机 之 间 的 链 路 都 是 干道 链 路 。 干 道 链 路 上 通过 的 
帧 一 般 为 带 Tag 的 VLAN 帧 。 
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e PVID 表 示 端 口 在 缺 省 情况 下 所 属 的 VLAN。 
e 缺 省 情况 下 ，X7 系 列 交换 机 每 个 端口 的 PVID 是 1。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page8 ND HUAWEI 





PVID 即 Port VLAN ID ， 代 表 端 口 的 缺 省 YLAN。 交 换 机 从 对 端 设 备 收 到 
的 帧 有 可 能 是 Untagged 的 数据 帧 ,但 所 有 以 太 网 帧 在 交换 机 中 都 是 以 
Tagged 的 形式 来 被 处 理 和 转发 的 ， 因 此 交换 机 必须 给 端口 收 到 的 
Untagged 数 据 帧 添加 上 Tags .为 了 实现 此 目的 ， 必 须 为 交换 机 配置 端口 
的 缺 省 VLAN 。 当 该 端 回收 到 Untagged 数 据 帧 时 ， 交 换 机 将 给 它 加 上 该 
缺 省 VLAN 的 VLAN,Tag。 
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端口 类 型 ~ Access 


主机 A 主机 B 主机 C 





ee Access 端口 在 收 到 数据 后 会 添加 VLAN Tag，VLAN ID 和 端 巴 的 PVID 相 
同 。 
e Access 端 口 在 转发 数据 前 会 移 除 VLAN Tag 。 
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Access 端 口 是 交 换 机 上 用 来 连接 用 户 宇 机 的 端口 ， 它 只 能 连接 接 入 链 路 
， 并 且 只 能 允许 唯一 的 VLAN ID 通过 本 端口 。 
Access 端 口 收发 数据 帧 的 规则 如 下 : 


1. 


如 果 该 端口 收 到 对 端 设备 发 送 的 帧 是 untagged (不 带 VLAN 标 签 ) 
， 交 换 机 将 强制 加 上 该 端口 的 PVID。 如 果 该 端口 收 到 对 端 设备 发 送 
的 帧 是 taggedx( 市 YLAN 标 签 ) ， 交 换 机 会 检查 该 标签 内 的 VLAN ID 
。 当 VLAN ND 与 该 端口 的 PVID 相 同时 ， 接 收 该 报 文 。 当 VLAN ID 与 
该 端 朋 的 RVID 不 同时 ， 丢 痉 该 报 文 。 


. Access 端口 发 送 数据 帧 时 ， 总 是 先 剥 离 帧 的 Tag ， 然 后 再 发 送 。 


Access 端 口 发 往 对 端 设 备 的 以 太 网 帧 永远 是 不 带 标签 的 帧 。 


在 本 示例 中 ， 交 换 机 的 G0/0/1，G0/0/2，G0/0/3 端 口 分 别 连接 三 人 台 主 机 
,都 配置 为 Access 端 口 。 主 机 A 把 数据 帧 (未 加 标签 ) 发 送 到 交换 机 的 
GO/O/ 端 口 ， 再 由 交换 机 发 往 其 他 目的 地 。 收 到 数据 帧 之 后 ， 交 换 机 根 
据 端口 的 PVID 给 数据 帧 打上 VLAN 标 签 10， 然 后 决定 从 GO/0/3 端 口 转发 
数据 帧 。G0/0/3 端 口 的 PVID 也 是 10， 与 VLAN 标 签 中 的 VLAN ID 相同 ， 
交换 机 移 除 标 签 ， 把 数据 帧 发 送 到 主机 C。 连 接 主机 B 的 端口 的 PVID 是 2 
， 与 VLAN10 不 属于 同一 个 VLAN ， 因 此 此 端口 不 会 接收 到 VLAN10 的 数 
据 帧 。 
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端口 类 型 ~Trunk 


主机 A 主机 B 主机 C 主机 D 
《 
e 当 Trunk 端 口 收 到 帧 时 ， 如 果 该 帧 不 包含 Tag， 将 打上 端口 的 PVID ;= 如 S 


果 该 帧 包含 Tag， 则 不 改变 。 

。 当 Trunk 端 口 发 送 帧 时 ， 该 帧 的 VLAN ID 在 Trunk 的 允许 发 送 列 裘 中 ; 若 
与 端口 的 PVID 相 同时 ， 则 剥离 Tag 发 送 ; 若 与 端口 的 PVID 不 向 时 ， 则 直 
接 发 送 。 
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Trunk 端 口 是 交 换 机 上 用 来 和 其 他 交换 机 连接 的 端口 ， 它 只 能 连接 干道 

链 路 。Trunk 端 口 允 许多 个 VLAN 的 帧 〈 带 Tag 标 记 ) 通过 。 

Trunk 端 口 收发 数据 帧 的 规则 如 I 下 : 

1. 当 接 收 到 对 端 设备 发 送 的 不 带 Tag 的 数据 帧 时 ， 会 添加 该 端口 的 
PVID， 如 果 PVID 在 分 许 通过 的 VLAN ID 列表 中 ， 则 接收 该 报 文 ， 否 
则 丢弃 该 报 文 4 当 接 收 到 对 端 设 备 发 送 的 带 Tag 的 数据 帧 时 ， 检 查 
VLAN ID 是 和 否 在 人 允许 通过 的 VLAN ID 列表 中 。 如 果 VLAN ID 在 接口 允 
许 通过 的 YLAN ID 列表 中 ， 则 接收 该 报 文 。 否 则 丢弃 该 报 文 。 

2. 端口 发 送 数 据 帧 时 ， 当 VLAN 1D 与 端口 的 PVID 相 同 ， 且 是 该 端口 允 
许 通 过 的 VLAN ID 时 ， 去 掉 Tag ， 发 送 该 报 文 。 当 VLAN ID 与 端口 的 
PVID 不 同 ， 且 是 该 端口 允许 通过 的 VLAN ID 时 ， 保 持原 有 Tag， 发 
送 该 报 文 。 

在 本 示例 中 ，SWA 和 和 SWB 连接 主机 的 端口 为 Access 端 口 ，PVID 如 图 所 

示 。SWA 和 SWB 互 连 的 端口 为 Trunk 端 口 ，PVID 都 为 1， 此 Trunk 链 路 

允许 所 有 VLAN 的 流量 通过 。 当 SWA 转 发 VLAN1 的 数据 帧 时 会 剥离 

VLAN 标 签 ， 然 后 发 送 到 Trunk 链 路 上 。 而 在 转发 VLAN20 的 数据 帧 时 ， 

不 剥离 VLAN 标 签 直接 转发 到 Trunk 链 路 上 。 
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端口 类 型 -Hybrid 


SWB 


Go/ol GO/0/1 


G0/0/2 


e Hybrid 端口 既 可 以 连接 主机 ， 又 可 以 连接 交换 机 。 
e Hybrid 端口 可 以 以 Tagged 或 Untagged 方 式 加 入 VLANL。 
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Access 端 口 发 往 其 他 设备 的 报 文 都 是 Wntagged 数 据 帧 ， 而 Trunk 端 口 
仅 在 一 种 特定 情况 下 才能 发 出 Untagged 数 据 帧 ， 其 它 情 况 发 出 的 都 是 
Tagged 数 据 帧 。 

Hybrid 端口 是 交换 机 上 既 可 以 连接 用 户主 机 ， 又 可 以 连接 其 他 交换 机 的 
端口 。Hybrid 端 口 既 可 以 连接 接 入 链 路 又 可 以 连接 干道 链 路 。Hybrid 端 
口 人 允许 多 个 VLAN 的 帧 通过 ， 并 可 以 在 出 端口 方向 将 某 些 VLAN 帧 的 Tag 
剥 掉 。 华 为 设备 默认 的 端口 类 型 是 Hybrid 。 

在 本 示例 中 , 要 求 主机 A 和 主机 B 都 能 访问 服务 器 ， 但 是 它们 之 间 不 能 互 
相 访 问 入 些 时 交换 机 连接 主机 和 服务 器 的 端口 ， 以 及 交换 机 互 连 的 端口 
都 配置 为 Hybrid 类 型 。 交 换 机 连接 主机 A 的 端口 的 PVID 是 2， 连 接 主 机 B 
的 端口 的 PVID 是 3， 连 接 服务 器 的 端口 的 PVID 是 100。 
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端口 类 型 -Hybrid 


RE 
一 -一 一 > 


PVID1 


一 一 > 
PVID100 
| |e 
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Hybrid 端口 收发 数据 帧 的 规则 如 下: 
1， 当 接收 到 对 端 设 备 发 送 的 不 囊 Tag 的 数据 帧 时 ， 会 添加 该 端口 的 
PVID， 如 果 PVID 在 允许 通过 的 VLAN ID 列表 中 ， 则 接收 该 报 文 ， 否 
则 丢弃 该 报 文 。 当 接收 到 对 端 设 备 发 送 的 带 Tag 的 数据 帧 时 ， 检 查 
VLAN ID 是 否 在 允许 通过 的 VLAN ID 列表 中 。 如 果 VLAN ID 在 接口 允 
许 通过 的 VLAN?D 列 表 中 ， 则 接收 该 报 文 ， 否 则 丢弃 该 报 文 。 
2，Hybrid 端 后 发 送 数据 帧 时 ， 将 检查 该 接口 是 否 允 许 该 VLAN 数 据 帧 通 
过 。 如 果 人 允许 通过 ， 则 可 以 通过 命令 配置 发 送 时 是 否 携带 Tag。 
配置 port.hybrid tagged vlan vlan-io 命 令 后 ， 接 口 发 送 该 Wan-/o 的 数据 
帧 时 ,\ 不 剥离 幢 中 的 VLAN Tag， 直 接 发 送 。 该 命令 一 般配 置 在 连接 交 
换 机 的 端口 上 。 
配置 port hybrid untagged vlan v/an-id 命 令 后 ， 接 口 在 发 送 v/an-id 的 
数据 帧 时 ， 会 将 帧 中 的 VLAN Tag 剥 离 掉 再 发 送出 去 。 该 命令 一 般配 置 
在 连接 主机 的 端口 上 。 
本 例 介绍 了 主机 A 和 主机 B 发 送 数 据 给 服务 器 的 情况 。 在 SWA 和 SWB 互 
连 的 端口 上 配置 了 port hybrid tagged vlan 2 3 100 命 令 后 ，SWA 和 
SWB 之 间 的 链 路 上 传输 的 都 是 带 Tag 标 签 的 数据 帧 。 在 SWB 连 接 服务 器 
的 端口 上 配置 了 port hybrid untagged vlan 2 3， 主 机 A 和 主机 B 发 送 的 
数据 会 被 剥离 YLAN 标 签 后 转发 到 服务 器 。 
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VLAN 划 分 方法 


基于 端口 GO/0/1, GO/0/7 G0/0/2 G0/0/9 


00-01-02-03-04-AA 00-01-02-03-04-BB 


基于 MAC 地 址 00.01.02.03-04-CC ”00-01-02-03-04-DD 





电 
DO 


基于 IP 子 网 划分 10.0.1.* 10.0.2.* 
基于 协议 划分 IP IPX 


10.0.1.* + GO/O/1+ 10.0.2.* + GO/0/2 + 


基于 策略 00-01-02-03-04-AA 00-01-02-03-04-BB 


主机 A 主机 B 主机 C 主机 D 
10.0.1.1 10.0.2.1 10.0.1.2 10.0.2.2 


e 基于 端口 的 VLAN 划 分 方法 在 实际 中 最 为 常见 。 
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VLAN 的 划分 包括 如 下 5 种 方法 : 


1. 


0 540 


基于 端口 划分 : 根据 交换 机 的 端 晶 编号 来 划分 VLAN。 通 过 为 交换 机 
的 每 个 端口 配置 不 同 的 PVID ,来 将 不 同 端口 划分 到 VLAN 中 。 初 始 
情况 下 ，X7 系 列 交 换 机 的 端口 处 于 VLAN1 中 。 此 方法 配置 简单 ， 但 
是 当主 机 移动 位 置 时 ， 需 要 重新 配置 VLAN 。 

基于 MAC 地 址 划分 根据 主机 网 卡 的 MAC 地 址 划分 VLAN 。 此 划分 
方法 需要 网 络 管理 员 提前 配置 网 络 中 的 主机 MAC 地 址 和 VLAN ID 的 
映射 关系 入 如 果 交 换 机 收 到 不 带 标 签 的 数据 帧 ， 会 查找 之 前 配置 的 
MACG 地 址 和 VLAN 了 映射 表 ， 根 据 数据 帧 中 携带 的 MAC 地 址 来 添加 相 
应 的 VLAN 标 签 。 在 使 用 此 方法 配置 VLAN 时 ， 即 使 主机 移动 位 置 也 
不 需要 重新 配置 VLAN。 

基于 IP 子 网 划分 : 交换 机 在 收 到 不 带 标 签 的 数据 帧 时 ， 根 据 报 文 携 
带 的 IP 地 址 给 数据 帧 添加 VLAN 标 签 。 

基于 协议 划分 : 根据 数据 帧 的 协议 类 型 (或 协议 族 类 型 ) 、 封 装 格 
式 来 分 配 VLAN ID。 网 络 管理 员 需 要 首先 配置 协议 类 型 和 VLAN ID 
之 间 的 映射 关系 。 

基于 策略 划分 : 使 用 几 个 条 件 的 组 合 来 分 配 VLAN 标 签 。 这 些 条 件 包 
括 IP 子 网 、 端 口 和 IP 地 址 等 。 只 有 当 所 有 条 件 都 匹配 时 ， 交 换 机 才 
S00 另外 ， 针 对 每 一 条 策略 都 是 需要 手工 配置 


VLAN 配 置 
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在 交换 机 上 划分 VLAN 时 ， 需 要 首先 创建 VLAN。 在 交换 机 上 执行 vlan 
<vlan-id> 命 令 ， 创 建 VLAN。 如 本 例 所 示 ， 执 行 vlan 10 命 令 后 ， 就 创建 
了 VLAN 10， 并 进入 了 VLAN WM0 视 图。VLAN ID 的 取 值 范围 是 1 到 4094。 
如 需 创建 多 个 VLAN ， 硬 以 在 交换 机 上 执行 vilan batch { vian- 
id1 [ to vian-id2 ] } 命 令 以 创建 多 个 连续 的 VLAN。 也 可 以 执行 vlan 
batch { vian-id1. vlan-iy2 } 命 令 ， 创 建 多 个 不 连续 的 VLAN，VLAN 号 之 
间 需 要 有 空格 。 


0 550 


配置 验证 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Vb HUAWEI 


创建 VLAN 后 ， 可 以 执行 display wlan 命令 验证 配置 结果 。 如 果 不 指定 任 
何 参 数 ， 则 该 命令 将 显示 所 有 VLAN 的 简要 信息 。 

执行 display vlan [ v/an-id [ verbose ] ] 命 令 ， 可 以 查看 指定 VLAN 的 详 
细 信 息 ， 包 括 VLAN ID、 类型、 描述 、VLAN 的 状态 、VLAN 中 的 端口 、 
以 及 VLAN 中 端口 的 模式 等 8 

执行 display vlanv/an:id statistics 命 令 ， 可 以 查看 指定 VLAN 中 的 流量 
统计 信息 。 

执行 display vlan summary 命 令 ， 可 以 查看 系统 中 所 有 VLAN 的 汇总 信 


/ENo 


0 560 


配置 Access 端 口 














nterface GigabitEthernet 0/0/5 
GigabitEthernet0/0/5]port link-type access 
GigabitEthernet0/0/5]interface GigabitEthernet 0/0 人 如 


SWA-GigabitEthernet0/0/7]port link-type access 
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华为 X7 系 列 交 换 机 上 ， 默 认 的 端 只 类 型 是 hybrid。 

配置 端口 类 型 的 命令 是 port linkstype <type>，type 可 以 配置 为 Access 
，Trunk 或 Hybrid。 需 要 注意 的 是 ， 如 果 查 看 端口 配置 时 没有 发 现 端 口 
类 型 信息 ， 说 明 端 口 使 用 了 默认 的 hybrid 端 口 链 路 类 型 。 当 修改 端口 类 
型 时 ， 必 须 先 恢复 端口 的 默认 VLAN 配 置 ， 使 端口 属于 缺 省 的 VLAN 1 。 


0 570 


淋 入 加 端 项 口 到 VLAN 











GigabitEthernet 0/0/7 





Alinterface GigabitEthernet0/0/5 


GigabitEthernet0/0/5]port default vlan 
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可 以 使 用 sy 口 加 入 到 VLANs 


1.， 第 一 种 方法 是 进入 到 VLAN 视 图 ,执行 port <interface> 命 令 ， 把 端口 
加 入 VLAN。 


2.， 第 二 种 方法 是 进入 到 接口 视图 ， 执 行 port default <vlan-id> 命 令 ， 把 
端口 加 入 VLAN wwvlan-id 是 指 端口 要 加 入 的 VLAN。 


0 580 


配置 验证 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 7 HUAWEI 


执行 display vlan 命令 ， 可 以 确认 端 岂 是 否 已 经 加 入 到 VLAN 中 。 在 本 示 
例 中 ， 端 口 GigabitEthernet0/0Y5 和 GigabitEthernet0/0/7 分 别 加 入 了 
VLAN 3 和 VLAN 2。UT 表 明 该 端口 发 送 数据 帧 时 ， 会 剥离 VLAN 标 签 ， 
即 此 端口 是 一 个 Access 端 自 或 不 带 标签 的 Hybrid 端口 。U 或 D 分 别 表 示 
链 路 当前 是 Up 状态 或 Down 状 态 。 
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配置 Trunk 端 口 
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配置 Trunk 时 ， 应 先 使 用 port link-type~trunk 命 令 修 改 端口 的 类 型 为 
Trunk， 然 后 再 配置 Trunk 端 口 锡 许 哪些 VLAN 的 数据 帧 通过 。 执 行 port 
trunk allow-pass vlan {{ Van-ioy [to van-io2 ]} | all} 命 令 ， 可 以 配置 
端口 允许 的 VLAN ，all 表 示人 允许 所 有 VLAN 的 数据 帧 通过 。 

执行 port trunk pvid3wlaf v/an-id 命 令 ， 可 以 修改 Trunk 端 口 的 PVID。 

修改 Trunk 端 口 的 PWID 之 后 ， 需 要 注意 : 缺 省 VLAN 不 一 定 是 端口 允许 
通过 的 VLANA 只 有 使 用 命令 port trunk allow-pass vlan { { vian- 
io [to v/arkid2] } | all } 允 许 缺 省 VLAN 数 据 通过 ， 才 能 转发 缺 省 VLAN 
的 数据 帧 兴 交 换 机 的 所 有 端口 默认 允许 VLAN1 的 数据 通过 。 

在 本 示例 中 ， 将 SWA 的 G0/0/1 端 口 配置 为 Trunk 端 口 ， 该 端口 PVID 默 认 
为 1 配置 port trunk allow-pass vlan 2 3 命令 之 后 ， 该 Trunk 人 允许 
VEAN 2 和 VLAN 3 的 数据 流量 通过 。 
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配置 验证 


SWA]display vlan 


otal number of 


Down; TG:Tagged; UT:Untagg 


common UT:GEI( 


ommon 
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执行 display vlan 命 令 可 以 查看 修改 后 的 配置 。TG 表 明 该 端口 在 转发 对 
应 VLAN 的 数据 帧 时 ， 不 会 剥离 标签 ， 直 接 进 行 转发 ， 该 端口 可 以 是 
Trunk 端 口 或 带 标签 的 Hybrid 端 品 。 本 示例 中 ，GigabitEthernet0/0/1 在 
转发 VLAN 2 和 VLAN3 的 流量 时 ; 不 剥离 标签 ， 直 接 转发 。 
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配置 Hybrid 端口 


SWB 
GO/0/1 


G0/0/2 


Wb huAwel 





port link-type hybrid 命 令 的 作用 是 将 端口 的 类 型 配置 为 Hybrid。 默 认 
情况 下 ，X7 系 列 交换 机 的 端口 类 型 是 Hybrid。 因 此 ， 只 有 在 把 Access 口 
或 Trunk 口 配置 成 Hybrid 时 ， 示 需要 执行 此 命令 。 

port hybrid tagged vlan{ v/an-id1 [to v/an-id2 ] } | all } 命 令 用 来 配置 
人 允许 哪些 VLAN 的 数据 由 以 fagged 方 式 通过 该 端口 。 

port hybrid untagged vlan { { v/an-id1 [to v/an-iq2 ] } | all } 命 令 用 来 
配置 允许 哪些 VLAN 的 数据 帧 以 Untagged 方 式 通过 该 端口 。 

在 本 示例 中 ， 要 求 主机 A 和 主机 B 都 能 访问 服务 器 ， 但 是 它们 之 间 不 能 互 
相 访 问 , 此 时 通过 命令 port link-type hybrid 配 置 交 换 机 连接 主机 和 服务 
器 的 端口 ; 以 及 交换 机 互 连 的 端口 都 为 Hybrid 类 型 。 通 过 命令 port 
hybridpvid vlan 2 配置 交换 机 连接 主机 A 的 端口 的 PVID 是 2。 类 似 地 ， 连 
接 主 机 B 的 端口 的 PVID 是 3， 连 接 服务 器 的 端口 的 PVID 是 100。 

通过 在 G0/0/1 端 口 下 使 用 命令 port hybrid tagged vlan 2 3 100， 配 置 
VLAN2,VLAN3 和 VLAN100 的 数据 帧 在 通过 该 端口 时 都 携带 标签 。 在 
G0/0/2 端 口 下 使 用 命令 port hybrid untagged vlan 2 100， 配 置 VLAN2 和 
VLAN100 的 数据 帧 在 通过 该 端口 时 都 不 携带 标签 。 在 GO0/0/3 端 口 下 使 用 
命令 port hybrid untagged vlan 3 100， 配 置 VLAN3 和 VLAN100 的 数据 
帧 在 通过 该 端口 时 都 不 携带 标签 。 
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配置 Hybrid 


SWB 
GO/0/1 


G0/0/2 


t link-type hybrid 
t hybrid tagged vlan 
SWB-GigabitEthernet0/0/2]port hybrid pvid vlan 


SWB-GigabitEthernet0/0, ort hybrid untagged vlar 
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在 SWB 上 继续 进行 配置 ， 在 GQ/O/1 端 口 下 使 用 命令 port link-type 
hybrid 配 置 端口 类 型 为 Hybrid 。 

在 G0/0/1 端 口 下 使 用 命令 port, hybrid tagged vlan 2 3 100， 配 置 
VLAN2，VLAN3 和 VLANT09 的 数据 帧 在 通过 该 端口 时 都 携带 标签 。 

在 G0/0/2 端 口 下 使 用 命令 port hybrid untagged vlan 2 3 100， 配 置 
VLAN2，VLAN3 和 VBAN100 的 数据 帧 在 通过 该 端口 时 都 不 携带 标签 。 


0 630 


配置 验证 
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在 SWA 上 执行 display vlan 命令 、 可 以 查看 hybrid 端 口 的 配置 。 在 本 示 
例 中 ，GigabitEthernet 0/0/2 在 发 送 YLAN2 和 VLAN100 的 数据 帧 时 会 剥 
离 标 签 。GigabitEthernet 0/0/3 在 发 送 VLAN3 和 VLAN100 的 数据 帧 时 会 
剥离 标签 。GigabitEthernets0/0/1 人 允许 VLAN 2，VLAN 3 和 VLAN 100 的 
带 标签 的 数据 帧 通过 。% 比 配置 满足 了 多 个 VLAN 可 以 访问 特定 VLAN,， 而 
其 他 VLAN 间 不 允许 互相 访问 的 需求 。 
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Voice VLAN 应 用 


GO/0/1 


VolP IPTV 
MAC: 0011-2200-0001 MAC: 0011-2200-0002 


e 通过 配置 Voice VLAN 可 以 区 分 语音 流量 和 业务 流量 ， 使 语音 流量 优 于 业 
务 流量 ， 从 而 为 语音 流量 提供 服务 保证 。 
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随 着 IP 网 络 的 融合 ，TCP/IP 网 络 可 以 为 高 速 上 网 HSI (High Speed 
Internet) 业务 、VolP (Voice overNP) 业务 、IPTV (Internet Protocol 
Television) 业务 提供 服务 。 

语音 数据 在 传输 时 需要 具有 上 比 其 他 业务 数据 更 高 的 优先 级 ， 以 减少 传输 
过 程 中 可 能 产生 的 时 延 和 去 包 现 象 。 

为 了 区 分 语音 数据 流 省 可 在 交换 机 上 部 署 Voice VLAN 功 能 ， 把 VolP 的 
电话 流量 进行 YLAN 隔 离 ， 并 配置 更 高 的 优先 级 ， 从 而 能 够 保证 通话 质 


= 
和 
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配置 Voice VLAN 


GO/O/1 


VolP IPTV 
MAC: 0011-2200-0001 MAC: 0012-2400-0002 


000 mask ffff- 开 QOD000 
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执行 voice-vlan <v/an-id> enable 命 令 河 以 把 VLAN 2 到 VLAN 4094 之 
间 的 任 一 VLAN 配 置 成 语音 VLAN。 


执行 voice-vlan mode <modes 命 令 ， 可 以 配置 端口 加 入 语音 VLAN 的 模 

式 。 

端口 加 入 Voice VLAN 的 模式 有 两 种 : 

1. 自动 模式 : 使 能 Voice VLAN 功 能 的 端口 根据 进入 端口 的 数据 流 中 的 
源 MAC 地 址 字段 来 判断 该 数据 流 是 否 为 语音 数据 流 。 源 MAC 地 址 符 

合 系 统 设置 的 语音 设备 OUI (Organizationally Unique Identifier) 地 

址 的 报 文 认为 是 语音 数据 流 。 接收 到 语音 数据 流 的 端口 将 自动 加 入 
Voice VLAN 中 传输 ， 并 通过 老化 机 制 维护 Voice VLAN 内 的 端口 数 
Ea 

2., 手动 模式 : 当 接 口 使 能 Voice VLAN 功 能 后 ， 必 须 通 过 手工 将 连接 语 
音 设 备 的 端口 加 入 或 退出 Voice VLAN 中 ， 这 样 才 能 保证 Voice 
VLAN 功 能 生效 。 

执 行 Voice-vlan mac-address mac-address mask oui- 

mask [ description text ] 命 令 ， 用 来 配置 Voice VLAN 的 OUI 地 址 。OUI 

地 址 表示 一 个 MAC 地 址 段 。 交 换 机 将 48 位 的 MAC 地 址 和 掩 码 的 对 应 位 

做 “与 "运算 可 以 确定 出 OUI 地 址 。 接 入 设备 的 MAC 地 址 和 OUI 地 址 匹配 

的 位 数 ， 由 掩 码 中 全 “1” 的 长 度 决 定 。 例 如 ，MAC 地 址 为 0001-0001- 

0001， 掩 码 为 FFFF-FF00-0000， 那 么 将 MAC 地 址 与 其 相应 掩 码 位 执行 

“5? 运算 的 结果 就 是 OUI 地 址 0001-0000-0000。 只 要 接 入 设备 的 

MAC 地 址 前 24 位 和 OUI 地 址 的 前 24 位 匹配 ， 那 么 使 能 Voice VLAN 功 能 

的 端口 将 认为 此 数据 流 是 语音 数据 流 ， 接 入 的 设备 是 语音 设备 。 
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配置 验证 


1440 (minutes) 
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执行 display voice-vlan status 命 令 x 及 以 查看 语音 VLAN 的 信息 ， 包 
括 状 态 、 工 作 模 式 、 老 化 时 间 、\ 以 双 使 能 了 语音 VLAN 功 能 的 端口 信息 


oo 


Add-Mode 字 上 段 表 明 语 音 YBRAN 的 添加 模式 。 自 动 模式 中 ， 使 能 了 语音 
VLAN 功 能 后 ， 端 口 可 以 自动 加 入 到 语音 VLAN。 如 果 语 音 设 备 发 送 的 报 
文 的 MAC 地 址 匹配 也 OUI， 连接 该 语音 设备 的 端 口 也 会 加 入 语音 VLAN 
。 如 果 在 老化 时 间 内 ， 端 口 没 有 收 到 语音 设备 的 任何 语音 数据 报 文 ， 端 
口 自动 会 被 删除 * 手动 模式 中 ， 在 端口 上 使 能 了 语音 VLAN 功 能 之 后 
必须 手动 把 端口 添加 到 语音 VLAN 中 。 

Security-Mode 字 段 表 示 Voice VLAN 端 口 的 工作 模式 ， 有 两 种 : 


+， 正常 模式 : 可 以 传输 语音 数据 和 业务 数据 ， 但 是 容易 受到 恶意 数据 
流量 的 攻击 。 
2， 安 全 模式 : 只 人 允许 传输 语音 数据 流 。 安 全 模式 可 以 防止 Voice VLAN 
受到 恶意 数据 流量 的 攻击 ， 但 是 检查 报 文 的 工作 会 占用 一 定 的 系统 
资源 。 


Legacy 字 上 段 表明 端口 是 否 开 启 与 其 他 厂商 语音 设备 互通 的 功能 ， 
Enable 表 示 开 启 ，Disable 表 示 关 闭 。 
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1. 
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e@ 如 果 一 个 Trunk 链 路 PVID 是 5， 且 端口 下 配置 port trunk allow-pass vlan 
23， 那 么 哪些 VLAN 的 流量 可 以 通过 该 Trunk 链 路 进行 传输 ? 
e PVID 为 2 的 Access 端 口 收 到 一 个 不 带 标记 的 帧 会 采取 什么 样 的 动作 ? 
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执行 了 port trunk allow-pass。vlan 2-3 命 令 后 ，VLAN 5 的 数据 帧 不 
能 在 此 链 路 上 进行 传输 。VLANN1 的 数据 默认 也 可 以 通过 Trunk 链 路 
进行 传输 。 所 以 VLAN 1，VLAN 2 和 VLAN 3 的 数据 帧 可 以 在 Trunk 
链 路 上 传输 。 

收 到 不 带 标 签 的 数据 帧 后 ，PVID 为 2 的 Access 端 口 会 给 数据 帧 打上 
VLAN 2 的 标签 会 然后 交换 机 会 根据 标签 和 目的 MAC 地 址 将 数据 帧 发 
送 到 其 他 端口 。 


谢谢 


Www.huawel.com 
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EN 
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俏 前 言 


GARP (Generic Attribute _ Registration Protocol) ， 全 称 是 通用 属性 注册 
协议 ， 它 为 处 于 同一 个 交换 网 内 的 交换 机 之 间 提 供 了 一 种 分 发 、 传 播 、 注 
册 某 种 信息 (VLAN 属 性 、 组 播 地 址 等 ) 的 手段 。 

GVRP 是 GARP 的 一 种 具体 应 用 或 实现 ， 主 要 用 于 维护 设备 动态 VLAN 属 性 
。 通 过 GVRP 协 议 ， 一 人 台 交 换 机 上 的 VLAN 信 息 会 迅速 传播 到 整个 交换 网 络 





。GVRP 实 现 了 LAN 属 性 的 动态 分 发 、 注 册 和 传播 ， 从 而 减少 了 网 络 管理 
员 的 工作 量 ， 也 能 保证 VLAN 配 置 的 正确 性 。 
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(@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 GVRP 的 工作 原理 
。 掌握 GVRP 的 基本 配置 
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GARP 应 用 


e@ GARP 通 过 在 交换 机 之 间 交 互 GARP 报 文 来 注册 、 注 销 、 和 传播 交换 机 
的 属性 。 
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GARP (Generic Attribute Registration /Protocol) ， 全称 是 通用 属性 注 
册 协 议 。 它 为 处 于 同一 个 交换 网 内 的 交换 成 员 之 间 提 供 了 一 种 分 发 、 传 
播 、 注 册 某 种 信息 的 手段 ， 这 些 信息 可 以 是 VLAN 信 息 、 组 播 组 地 址 等 。 
通过 GARP 机 制 ， 一 个 GARP 成 员 上 的 配置 信息 会 迅速 传播 到 整个 交换 
网 。 

GARP 主 要 用 于 大 中 型 网 络 中 ， 用 来 提升 交换 机 的 管理 效率 。 在 大 中 型 
网 络 中 ， 如 果 管 理 员 手动 配置 和 维护 每 台 交 换 机 ， 将 会 带 来 巨大 的 工作 
量 。 使 用 GARP 可 以 自动 完成 大 量 交换 机 的 配置 和 部 署 ， 减 少 了 大 量 的 
人 力 消耗 。 

GARP 本 身 仅仅 是 一 种 协议 规范 ， 并 不 作为 一 个 实体 在 交换 机 中 存在 。 

遵 篇 GARP 协 议 的 应 用 实体 称 为 GARP 应 用 ， 目 前 主要 的 GARP 应 用 为 
GVRP 和 GMRP。 


0 730 


GARP 报 文 结构 


DA | SA | Length | DSAP | SSAP | CTRL 
1 3 \ 
Protocol ID Message1 | Message N | End Mark 


和 - N 


Attribute Type Attribute List 


1 N 


Ee “toeN er 


, N 
Attribute Length | Attribute Event | Attribute Value 


e GARP PDU 消 息 以 列表 的 形式 来 承载 属性 。 
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GARP 协 议 报 文采 用 IEEE 802.3 Etherriet 封 装 形式 ， 目 的 MAC 地 址 为 多 
播 MAC 地 址 01-80-C2-00-00-21%。 GARP 使 用 PDU 包 含 的 消息 定义 属性 
， 根 据 属 性 类 型 字段 和 属性 列表 识别 消息 。 属 性 列表 中 包含 多 个 属性 。 
每 个 属性 包含 属性 长 度 、/ 属 性 事件 和 属性 值 字段 。 属 性 长 度 范围 在 2 到 
255 个 字 节 之 间 。 属 性 值 为 属性 定义 了 具体 的 值 。 属 性 事件 是 0 到 5 之 间 
的 一 个 值 ， 这 些 值 代表 GARP 支 持 的 不 同事 件 类 型 ， 具 体 含义 如 下 : 

0: 代表 LeaveAll 事 件 ; 

1: 代表 JoinEmpty 事 件 ; 

: 代表 yoinln 事 件 ; 

: 代表 LeaveEmpty 事 件 ; 

、 代表 Leaveln 事 件 ; 

: 代表 Empty 事件 。 


Or 上 DN 


0 740 


GARP 消 息 -Join 


e 当 一 个 交换 机 希望 其 它 交 换 机 注册 自己 的 属性 信息 时 ， 将 对 外 发 送 Join 
消息 。 
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如 果 GARP 参 与 者 希望 其 他 交换 机 注册 自己 的 属性 ， 则 会 向 它们 发 送 
Join 消 息 。 

如 果 一 个 GARP 参 与 者 收 到 其 他 交换 机 发 送 的 Join 消 息 ， 或 者 手动 配置 
了 某 些 属性 ， 该 参与 者 也 会 向 其 他 交换 机 发 送 Join 消 息 ， 让 其 他 交换 机 
注册 这 些 新 的 属性 。 
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GARP 消 息 -Leave 


注销 属性 


@ 当 一 个 交换 机 希望 其 它 交 换 机 注销 自己 的 属性 信息 时 ， 将 对 外 发 送 
Leave 消 息 。 
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如 果 GARP 参 与 者 希望 其 他 交换 机 注销 自己 的 属性 ， 则 会 向 它们 发 送 
Leave 消 息 。 

如 果 GARP 参 与 者 收 到 其 他 交换 机 发 送 的 Leave 消 息 ， 或 者 手动 注销 了 
某 些 属性 ， 该 参与 者 也 会 向 其 他 交换 机 发 送 Leave 消 息 。 


0 760 


GARP 消 息 -Leave All 


清除 所 有 属性 


e 交换 机 发 送 Leave All 消 息 ， 用 来 注销 所 有 的 属性 。 
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如 果 GARP 参 与 者 希望 其 他 交换 机 注销 所 有 属性 ， 来 重新 注册 自己 发 送 
的 属性 信息 ， 则 会 向 它们 发 送 Leave\All 消 息 。 
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GVRP 应 用 


VLAN mA SS 属性 


SWC 


ott/ \ 
SWE SWF 


e _ GVRP 协议 可 以 实现 VLAN 属 性 的 自动 注册 和 注销 。 
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GVRP (GARP VLAN Registration Rrot6col) ， 称 为 VLAN 注 册 协 议 。 
GVRP 基 于 GARP 的 工作 机 制 ， 是 GARP 的 一 种 应 用 。GVRP 用 来 维护 交 
换 机 中 的 VLAN 动 态 注册 信息 从 并 传播 该 信息 到 其 它 的 交换 机 中 。 支 持 
GVRP 特 性 的 交换 机 能 够 接收 来 自 其 它 交 换 机 的 VLAN 注 册 信息 ， 并 动 
态 更 新 本 地 的 VLAN 注 册 人 信息， 包括 当前 的 VLAN、VLAN 成 员 等 。 支 持 
GVRP 特 性 的 交换 机 人 能够 将 本 地 的 VLAN 注 册 信 息 向 其 它 交 换 机 传播 ， 
以 便 使 同一 交换 网 内 所 有 支持 GVRP 特 性 的 设备 的 VLAN 信 息 达 成 一 致 
交换 机 可 以 静态 创建 VLAN ， 也 可 以 动态 通过 GVRP 获 取 VLAN 信 息 。 手 
动 配置 的 VLAN 是 静态 VLAN， 通 过 GVRP 创 建 的 VLAN 是 动态 VLAN。 
GVRP 传 播 的 VLAN 注 册 信 息 包 括 本 地 手工 配置 的 静态 注册 信息 和 来 自 
其 它 交 换 机 的 动态 注册 信息 。 
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GVRP 单 向 注册 


Join 消 息 Join 消 息 


GO/O/1 GO/0/1 G0/0/2 GO/O/1 





e 在 SWA 上 创建 静态 VLAN2， 通 过 VLAN 属 性 的 单 向 注册 ，SWB 和 SWO 
会 学 习 到 动态 VLAN2， 并 将 相应 端口 自动 加 入 到 VLAN2 中 。 
e SWB 的 G0/0/2 端 口 没有 收 到 Join 消 息 ， 不 会 被 加 入 到 VLAN2 中 。 
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如 图 所 示 ， 所 有 交换 机 以 及 互 连 的 接 回 都 已 经 启用 GVRP 协 议 ， 各 交换 
机 之 间 相 连 的 端口 均 为 Trunk 端 各 并 配置 为 允许 所 有 VLAN 的 数据 通过 。 
在 SWA 上 手动 创建 VLAN2 之 局 ，SWA 的 G0/0/1 端 口 会 注册 此 VLAN 并 发 
送 声 明 给 SWB，SWB 的 G0/0/1 端 口 接收 到 由 SWA 发 来 的 声明 后 ， 会 在 
此 端口 注册 VLAN2， ,然后 从 G0/0/2 发 送 声 明 给 SWC，SWC 的 G0/0/1 收 
到 声明 后 也 会 注册 YBRAN2。 通 过 此 过 程 就 完成 了 VLAN2 从 SWA 向 其 他 
交换 机 的 单 向 注册 只 有 注册 了 VLAN2 的 端口 才 可 以 接收 和 转发 VLAN2 
的 数据 ,没有 注册 VLAN2 的 端口 会 丢弃 VLAN2 的 数据 ， 如 SWB 的 
G0/0/2 端 口 没 有 收 到 VLAN2 的 Join 消 息 ， 不 会 注册 VLAN2， 就 不 能 接收 
和 转发 VDAN2 的 数据 。 

为 使 VLAN 2 流量 可 以 双向 互通 ， 还 需要 进行 SWC 到 SWA 方 向 的 VLAN 
属性 的 注册 过 程 。 
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GVRP 单 向 注销 


Leave 消 息 Leave 消 息 


GO/O/1 GO/O/1 GO/0/2 GO/O/1 


静态 : VLAN 2 





e 当 交 换 机 不 再 需要 VLAN2 时 ， 可 以 通过 VLAN 属 性 的 注销 过 程 将 VLAN2 
删除 。 
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如 图 所 示 ， 如 果 所 有 交换 机 都 不 再 需要 VLAN2 ， 可 以 在 SWA 上 手动 删 
除 VLAN2， 则 GVRP 会 通过 发 送 heave 消 息 ， 注 销 SWB 和 SWC_ 上 G0/0/1 
端口 的 VLAN2 信 息 。 


为 了 彻底 删除 所 有 设备 上 的 VLAN 2， 需 要 进行 VLAN 属 性 的 双向 注销 。 


0 800 


注册 模式 -Normal 


SWB 
VLAN2&VLAN3 VLAN2&VLAN3 SWC 


一 一 一 一 一 
GO/0/1 GO/0/1 GO/0/2 GO/0/1 


静态 : VLAN 2 
动态 : VLAN 3 


e 交换 机 端口 默认 为 Normal 模 式 ， 人 允许 静态 和 动态 VLAN 注 册 ,N 同 时 会 发 
送 静 态 VLAN 和 动态 VLAN 的 声明 消息 。 
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GVRP 的 注册 模式 包括 : Normal、。Fixed 和 Forbidden。 

当 一 个 Trunk 端 口 被 配置 为 Normal 注 册 模 式 时 ， 人 允许 在 该 端口 动态 或 手 
工 创建 、 注 册 和 注销 VLAN ， 同 时 会 发 送 静 态 VLAN 和 动态 VLAN 的 声明 
消息 。X7 系 列 交 换 机 在 运行 GVRP 协 议 时 ， 端 口 的 注册 模式 都 默认 为 
Normal。 

本 例 中 ， 在 SWA 半 存在 手动 创建 的 VLAN2 和 动态 学 习 的 VLAN3 的 信息 ， 
三 台 交 换 机 的 注册 模式 都 默认 为 Normal， 则 SWA 发 送 的 Join 消 息 中 会 包 
含 VLAN2 和 VEAN3 的 信息 ，SWB 的 GO/O/1 端 口 会 注册 VLAN2 和 VLAN3 ， 
之 后 会 同样 发 送 Join 消 息 给 SWC，SWC 的 G0/0/1 端 口 也 会 注册 VLAN2 
和 VCAN31 
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注册 模式 -Fixed 


VLAN2 VLAN2 
一 一 一 一 一 一 一 
GO/0/1 GO/0/1 GO/0/2 GO/0/1 


静态 : VLAN 2 
动态 : VLAN 3 


e SWA 的 G0/0/1 端 口 为 Fixed 模 式 ， 不 允许 动态 VLAN 在 端口 上 注册 或 者 注 
销 ， 且 只 发 送 静 态 VLAN 的 声明 消息 。 
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Fixed 注 册 模 式 中 ，GVRP 不 能 动态 注册 或 注销 VLAN， 只 能 发 送 静 态 

VLAN 注 册 信息 。 如 果 一 个 Trunk 端 所 的 注册 模式 被 设置 为 Fixed 模 式 ， 

即使 接口 被 配置 为 允许 所 有 VAN 的 数据 通过 ， 该 接口 也 只 允许 手动 配 

置 的 VLAN 内 的 数据 通过 。 

本 例 中 ， 在 SWA 上 看 你 手动 创建 的 VLAN2 和 动 ; 态 学 习 的 VLAN3 的 信息 
，SWA 的 G0/0/1 端 加 的 注册 模式 被 修改 为 Fixed， 则 SWA 发 送 的 Join 消 
息 中 会 只 包含 静态 YLAN2 的 信息 ，SWB 的 G0/0/1 端 口 会 注册 VLAN2。 


0 820 


注册 模式 -Forbidden 


GO/O/1 GO/0/1 GO/0/2 GO/O/1 


静态 : VLAN 2 
动态 : VLAN 3 


e SWA 的 G0/0/1 端 口 为 Forbidden 模 式 ， 不 允许 动态 VLAN 在 靖 和 上 进行 注 
册 ， 同 时 删除 端口 上 除 VLAN1 外 的 所 有 VLAN。 
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Forbidden 注 册 模 式 中 ，GVRP 接 向 不 能 动态 注册 或 注销 VLAN， 只 保留 
VLAN1 的 信息 。 如 果 一 个 Trunk 端 口 的 注册 模式 被 设置 为 Forbidden 模 式 ， 
即使 端口 被 配置 为 允许 所 有 VBAN 的 数据 通过 ， 该 端口 也 只 人 允许 VLANI1 
的 数据 通过 。 

本 例 中 ， 在 SWA 上 存在 手动 创建 的 VLAN2 和 动态 学 习 的 VLAN3 的 信息 ， 
SWA 的 G0/0/1 端 各 配 上 置 为 Forbidden 模 式 ， 不 会 发 送 VYLAN2 和 VLAN3 的 
信息 ， 且 只 人 允许 VLAN1 的 数据 通过 。 
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配置 GVRP 


SWA SWB 


富 GO/0/1 GO/O/1 SS 


SWA] gvrr 

SWA] interface Gigabitethernet 0/0/] 

SWA-GigabitEthernet0/0/1l]port link-type trunk 
sigabitEthernet0/0/1]port trunk allow-pass vlan 

SWA-GigabitEthernet0/0/1] 


SWA-GigabitEthernet0/0/1l]gvrp registration fixe 
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配置 GVRP 时 必须 先 在 系统 视图 下 使 能 GVRP， 然 后 在 接口 视图 下 使 能 
GVRP。 

在 全 局 视图 下 执行 gvrp 命 令 ， 全 局 使 能 GVRP 功 能 。 

在 接口 视图 下 执行 gvrp 命 令 ) “在 端口 上 使 能 GVRP 功 能 。 

执行 gvrp registration 关 /mooe> 命 令 ， 配 置 端 口 的 注册 模式 ， 可 以 配置 
为 Normal、 Fixed 和 Forbidden 。 默 认 情 况 下 ， 接 口 的 注册 模式 为 
Normal 模 式 % 


0 840 


配置 验证 


GVRP status 
GVRP registrations 
GVRP last PDU origi 


GVRP registratior 
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执行 display gvrp status 命 令 ， 验 证 GYRP 的 配置 ， 可 以 查看 交换 机 是 
否 使 能 了 GVRP。 

执行 display gvrp statistics 命 念 ， 可 以 查看 GVRP 中 活动 接口 的 信息 。 
在 本 示例 中 ， 可 以 查看 接 冉 当前 的 GVRP 状 态 为 Enabled， 注 册 类 型 为 
Fixed。 


0 850 


e GVRP 默 认 的 注册 模式 是 什么 ? 
e 交换 机 使 用 GVRP 传 输 VLAN 信 息 时 ， 需 要 哪些 前 提 条 件 ? 
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1. 默认 注册 模式 是 Normal。 


2， 配 置 了 GVRP 的 交换 机 在 传输 VLAN 信 息 时 ， 需 要 首先 配置 链 路 两 端 
的 端口 类 型 为 Trunk， 并 且 人 允许 相应 的 VLAN 数 据 通 过 。 
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谢谢 


Www.huawel.com 
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VLAN 间 路 由 
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全 前 言 


部 署 了 VLAN 的 传统 交换 机 不 能 实现 不 同 VLAN 间 的 二 层 报 文 转发 ， 因 此 必 
须 引 入 路 由 技术 来 实现 不 同 VLAN 间 的 通信 。VLAN 路 由 可 以 通过 二 层 交 换 
机 配合 路 由 器 来 实现 ， 也 可 以 通过 三 层 交 换 机 来 实现 。 
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学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 VLAN 路 由 的 应 用 场景 
。 掌握 VLAN 路 由 的 工作 原理 
。 掌握 VLAN 路 由 的 基本 配置 
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VLAN 的 局 限 性 


VLAN 100 VLAN 200 


e VLAN 在 分 割 广播 域 的 同时 也 限制 了 不 同 VLAN 间 的 主机 进行 二 层 通信 。 
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VLAN 隔 离 了 二 层 广 播 域 ， 也 严格 地 隔离 了 各 个 VLAN 之 间 的 任何 二 层 流 
量 ， 属 于 不 同 VLAN 的 用 户 之 间 不 能 进行 二 层 通 信 。 
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VLAN 路 由 -每 个 VLAN 一 个 物理 连接 


主机 A 主机 B 


VLAN2 VLAN3 


e 在 二 层 交 换 机 上 配置 VLAN， 每 一 个 VLAN 使 用 一 条 独占 的 物理 链 路 连接 
到 路 由 器 的 一 个 接口 上 。 
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因为 不 同 VLAN 之 间 的 主机 是 无 法 实现 一 层 通信 的 ， 所 以 必须 通过 三 层 
路 由 才能 将 报 文 从 一 个 VLAN 转 发 到 另外 一 个 VLAN。 

解决 VLAN 间 通信 问题 的 第 一 种 方法 是 : 在 路 由 器 上 为 每 个 VLAN 分 配 一 
个 单独 的 接口 ， 并 使 用 一 条 物理 链 路 连接 到 二 层 交 换 机 上 。 当 VLAN 间 
的 主机 需要 通信 时 , 数据 会 经 由 路 由 器 进行 三 层 路 由 ， 并 被 转发 到 目的 
VLAN 内 的 主机 , * 这 样 就 可 以 实现 VLAN 之 间 的 相互 通信 。 

然而 ， 随 着 每 个 交换 机 上 VLAN 数 量 的 增加 ， 这 样 做 必然 需要 大 量 的 路 
由 器 接口 而 路 由 器 的 接口 数量 是 极其 有 限 的 。 并 且 ， 茶 些 VLAN 之 间 
的 主机 可 能 不 需要 频繁 进行 通信 ， 如 果 这 样 配 置 的 话 ， 会 导致 路 由 器 的 
接 加 利用 率 很 低 。 因 此 ， 实 际 应 用 中 一 般 不 会 采用 这 种 方案 来 解决 
VLAN 间 的 通信 问题 。 
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VLAN 路 由 - 单 臂 路 由 


GO/0/1.1 | G0/0/1.2 
192.168.2.254 | 192.168.3.254 
-一 一 Trunk 


主机 A 主机 B 
GW:192.168.2.254 GW:192.168.3.254 
VLAN2 VLAN3 


e@ 将 交换 机 和 路 由 器 之 间 的 链 路 配置 为 Trunk 链 路 ， 并 且 在 路 由 器 上 创建 
子 接口 以 支持 VLAN 路 由 。 
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解决 VLAN 间 通信 问题 的 第 二 种 方法 是 : 


在 交换 机 和 路 由 器 之 间 仅 使 用 一 条 物理 链 路 连接 。 在 交换 机 上 ， 把 连接 

到 路 由 器 的 端口 配置 成 Trunk 类 型 的 端口 ， 并 允许 相关 VLAN 的 帧 通过 。 

在 路 由 器 上 需要 创建 子 接口 3。 人 逻辑 上 把 连接 路 由 器 的 物理 链 路 分 成 了 多 

条 。 一 个 子 接口 代表 ;一 条 归属 于 某 个 VLAN 的 逻辑 链 路 。 配 置 子 接口 

了 时， 需要 注意 以 下 由 点 

1.， 必须 为 每 个 子 接口 分 配 一 个 IP 地 址 。 该 IP 地 址 与 子 接口 所 属 VLAN 位 
于 同 夫 网 段 。 

2. 需要 在 子 接口 上 配置 802.1Q 封 装 ， 来 剥 掉 和 添加 VLAN Tag， 从 而 
实现 VLAN 间 互通 。 

3;、 在 子 接口 上 执行 命令 arp broadcast enable 使 能 子 接口 的 ARP 广 播 
功能 。 

本 例 中 ， 主 机 A 发 送 数 据 给 主机 B 时 ，RTA 会 通过 G0/0/1.1 子 接口 收 到 此 

数据 ， 然 后 查找 路 由 表 ， 将 数据 从 G0/0/1.2 子 接口 发 送 给 主机 B， 这 样 

就 实现 了 VLAN2 和 VLAN3 之 间 的 主机 通信 。 
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VLAN 路 由 -三 层 交 换 


VLANIF 2: 192.168.2.254/24 
VLANIF 3: 192.168.3.254/24 


主机 A 主机 B 主机 C 主机 D 
GW:192.168.2.254 GW:192.168.2.254 GW:192.168.3.254 GW:192.168.3:254 


VLAN2 VLAN3 


® 为 每 个 VLAN 创 建 一 个 VLANIF 接 口 作为 网 关 。 
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解决 VLAN 间 通信 问题 的 第 三 种 方法 是 : 

在 三 层 交 换 机 上 配置 VLANIF 接 口 来 实现 VLAN 间 路 由 。 如 果 网 络 上 有 多 
个 VLAN， 则 需要 给 每 个 VLAN 配 置 一 个 VLANIF 接 口 ， 并 给 每 个 VLANIF 
接口 配置 一 个 IP 地 址 。 用 户 没 置 的 缺 省 网 关 就 是 三 层 交 换 机 中 VLANIF 
接口 的 IP 地 址 。 
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配置 单 臂 路 由 


EA VLAN2 


G0/0/1 


192.168.2.1/24 GO/0/3 


主机 B 
192.168.3.1/24 





vlan batch 2 3 

GigabitEthernet0/0/1]port link-type trunk 
\~GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 
-GigabitEthernet0/0/2]port link-type access 
A-GigabitEthernet0/0/2]port default vlan 2 


A-GigabitEthernet0/0/3]port link-type access 





GigabitEthernet0/0/3]port default vlan 3 
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执行 port link-type trunk 命 令 ， 配 置 SWA 的 G0/0/1 端 口 为 Trunk 类 型 的 
端口 。 

执行 port trunk allow-pass vlan 2 3 命令 ， 配 置 SWA 的 G0/0/1 端 口 允 许 
VLAN 2 和 VLAN 3 的 数据 通过 。 
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配置 单 臂 路 由 


A VLAN2 
= 192.168.2.254/24 
GO/011.1 


192.168.3.254/24 
192.168.2.1/24 


主机 B 
192.168.3.1/24 





五 ] interface Gig 
RTA-GigabitEthernet0/0/1.1]dot 
TA-GigabitEthernet0/0/1.1]ip address 19 
TA-GigabitEthernet0/0/1.1]arp broadcast enable 
RTA] interface Gig 
RTA-GigabitEthernet0) 


GigabitEthernet0/0/1.2]i 
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interface interface-type interface-numibeér.sub-interface number 命 令 
来 创建 子 接口 。sub-interface number 代 表 物 理 接 口内 的 逻辑 接口 通道 


oo 


dot1q termination Vid 命令 用 来 配置 子 接口 dot1q 封 装 的 单 层 VLAN ID 。 
缺 省 情况 ， 子 接口 没有 配置 qot1q 封 装 的 单 层 VLAN ID。 本 命令 执行 成 功 
后 ， 终 结子 接口 对 报 文 的 处 理 如 下 : 接收 报 文 时 ， 列 掉 报 文中 携带 的 
Tag 后 进行 三 层 转 发 。 转 发 出 去 的 报 文 是 否 带 Tag 由 出 接口 决定 。 发 送 
报 文 时 ， 将 相应 的 VLAN 信 息 添加 到 报 文中 再 发 送 。 

arp broadcast enable 命 令 用 来 使 能 终结 子 接 口 的 ARP 广 播 功能 。 缺 省 
情况 下 ， 终 结子 接口 没有 使 能 ARP 广 播 功 能 。 终 结子 接口 不 能 转发 广播 
报 文 、 在 收 到 广播 报 文 后 它们 直接 把 该 报 文 丢弃 。 为 了 允许 终结 子 接口 
能 转发 广播 报 文 ， 可 以 通过 在 子 接 口上 执行 此 命令 。 
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配置 验证 


27 七 ime=15 


7 time=15 


192.168.3.1 ping statistics 
{s) transmitted 
{s) received 
0.00% packet loss 


ound-trip min/avg/max = 
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配置 完成 单 臂 路 由 后 ， 可 以 使 用 ping 命 念 来 验证 主机 之 间 的 连通 性 。 如 
上 所 示 ，VLAN2 中 的 主机 A(IP 地 址 \ 192.168.2.1) 可 以 Ping 通 VLAN 3 
中 的 主机 B(IP 地 址 : 192.168.3.1)\ 


0 970 


配置 三 层 交 换 


VLANIF 2: 192.168.2.254/24 
VLANIF 3: 192.168.3.254/24 


192.168.2.2/24 


WRA]jvlan batch 2 3 
GigabitEthernet0/0/1]port link-type a 
GigabitEthernet0/0/1]port default vlan 2 
GigabitEthernet0/0/2]port link-type a 


"A-GigabitEthernet0/0/2]port default v 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 1 Page11 





在 三 层 交换 机 上 配置 VLAN 路 由 时 ， 首 先 创建 VLAN， 并 将 端口 加 入 到 
VLAN 中 。 
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配置 三 层 交 换 


VLANIF 2: 192.168.2.254/24 
VLANIF 3: 192.168.3.254/24 


192.168.2.2/24 


SWA]interface vlanif 2 
Jlanif2]ip address 
Tlanif2]quit 

rface vlanif 3 


3]ip address 
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interface vlanif van-/o 命 令 用 来 创建 MLANIF 接 口 并 进入 到 VLANIF 接 口 
视图 。vlan-id 表 示 与 VLANIF 接 各 相关 联 的 VLAN 编 号 。VLANIF 接 口 的 
IP 地 址 作为 主机 的 网 关 IP 地 址 ,和 主机 的 IP 地 址 必须 位 于 同一 网 段 。 
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配置 验证 


) time=15 


).00$ packet loss 


ound-trip min/avg/max = 
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配置 三 层 交 换 后 ， 可 以 用 ping 命 令 验 证 主机 之 间 的 连通 性 。 如 上 所 示 ， 
VLAN2 中 的 主机 A(IP 地 址 : 192N68.2.2) 可 以 Ping 通 VLAN 3 中 的 主机 
B(IP 地 址 : 192.168.3.2)。 


0 1000 


e 配置 命令 dot1q termination vid <vlan-id> 的 目的 是 什么 ? 
e 配置 单 臂 路 由 时 ， 交 换 机 连接 路 由 器 的 接口 需要 哪些 配置 ? 
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1. dot1q termination vid v/an-id 命 令 有 两 个 功能 。 和 第 一 个 功能 是 删除 
VLAN 标 签 。 接 口 在 收 到 VLAN 报 文 后 ， 剥 掉 报 文中 携带 的 Tag 后 进 
行 三 层 转发。 第 一 个 功能 是 添加 VLAN 标 签 。 接口 在 发 送 报 文 时 ， 将 
相应 的 VLAN 信 息 添 加 到 报 交 中 再 发 送 。 

2.， 必须 把 接口 配置 成 TtunK 口 ， 并 允许 相应 VLAN 的 数据 通过 。 
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谢谢 


Www.huawel.com 
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WLAN 概 述 
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们 前 言 


无 线 局 域 网 WLAN (Wireless Local Area Network) 是 一 种 利用 无 线 技 术 实 


现 主机 等 终端 设备 灵活 接 入 以 太 网 的 技术 ， 它 使 得 网 络 的 构建 和 终端 的 移 
动 更 加 的 方便 和 灵活 。 WLAN 不 仅 可 以 作为 有 线 局 域 网 的 补充 和 延伸 ， 而 
且 还 可 以 与 有 线 网 络 互 为 备份 。 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Ve HUAWEI 


0 1040 


侈 兰 习 目标 


学 完 本 课程 后 ， 您 应 该 : 


e 理解 WLAN 在 企业 网 络 中 的 应 用 
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WLAN 的 应 用 


e 随 着 WLAN 技 术 的 发 展 ， 人 们 可 以 使 用 越 来 越 多 的 移动 设备 接 入 到 企业 
网 络 中 进行 办 公 ， 大 大 提高 了 工作 效率 。 
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无 线 局 域 网 技术 发 展 迅猛 ， 在 许多 企业 阅 络 中 都 已 经 普及 。 未 来 ， 无 线 
局 域 网 在 企业 网 络 中 有 望 取代 有 线 以 太 网 ， 为 用 户 提供 无 处 不 在 的 网 络 
接 入 。 平 板 电脑 和 智能 移动 设备 的 使 用 热潮 为 BYOD (Bring Your Own 
Device) 解决 方案 的 推广 铺 平 了 道路 ， 并 带 来 了 企业 领域 工作 方式 的 改 
变 。BYOD 是 指 自 带 设备 进行 办 公 ， 这 些 设备 包括 个 人 电脑 、 手 机 、 平 
板 等 智能 终端 ， 通 过 这 些 智能 终端 ， 员 工 可 以 在 任何 地 方 ， 任 何 地 点 进 
行 收发 公司 邮件 ， 访 问 公司 资源 ， 对 公司 的 业务 进行 处 理 ， 实 现 移动 办 
公 。 

。BYOB 解 决 方案 可 以 为 用 户 提供 一 个 无 处 不 在 的 网 络 ， 支 持 不 同 种 类 
的 自 带 设备 安全 地 访问 企业 网 络 ， 保 持 自 带 设备 的 良好 用 户 体验 ， 提 升 
用 户 满意 度 和 工作 效率 。 

无 线 网 络 在 普及 的 同时 也 面临 着 众多 挑战 。 例 如 ， 如 何 实现 高 密度 的 设 
备 接 入 ;如 何 避 免 信 号 损耗 和 连接 中 断 以 保障 媒体 业务 (语音 和 视频 ) 
的 流畅 性 ; 如 何 防御 网 络 入 侵 ， 保 证 用 户 的 接 入 安全 。 
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WLAN 网 络 演进 过 程 


802.11n 


802.11g 
802.11 ab 
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无 线 网 络 的 初步 应 用 ， 可 以 追 朔 到 第 宇 次 世界 大 战 期 间 ， 当 时 美国 陆军 
采用 了 无 线 电信 号 来 进行 资料 的 传输 。 他 们 研发 出 了 一 套 高 强度 加 密 的 
无 线 电 传输 系统 ， 该 系统 在 美军 和 盟 军 中 得 到 了 广泛 的 使 用 。 他 们 也 许 
没有 想到 ， 这 项 技术 会 在 谎 二 年 后 的 今天 改变 我 们 的 生活 。1971 年 ， 夏 
威 夷 大 学 的 研究 人 员 研 发 出 了 第 一 个 基于 封包 式 技术 的 无 线 电 通讯 网 络 
， 称 为 ALOHAnet。- 它 包括 了 7 人 台 计 算 机 ， 采 用 双向 星 型 拓扑 横 跨 四 座 夏 
威 夷 的 岛屿 ， 中 心计 算 机 放置 在 瓦 胡 岛 上 。 一 般 认 为 ，ALOHAnet 的 出 
现 ， 标 志 了 无 线 局 域 网 的 正式 诞生 。 

1990 年 & IEEE 正 式 启动 了 802.11 项 目 ， 无 线 局 域 网 技术 逐渐 走向 成 熟 
。J|IEEE802:11(WiFi) 标 准 诞生 以 来 ， 先 后 有 802.11a ， 802.11b ， 
802,11g，802.11e，802.11f，802.11h ，802.11i，802.11j 等 标准 被 制 
定 出 来 ， 目 前 802.11n 的 应 用 已 经 非常 普遍 ，802.11n 技 术 可 以 提供 用 户 
高 速度 、 高 质量 的 WLAN 服 务 。 

2003 年 以 来 ， 无 线 网 络 市 场 热度 迅速 碳 升 ， 已 经 成 为 上 T 市 场 中 新 的 增长 
亮点 。 由 于 人 们 对 网 络 速度 及 方便 使 用 性 的 期 望 越 来 越 大 ， 于 是 与 电脑 
以 及 移动 设备 结合 紧密 的 WiFi、CDMA/GPRS、 蓝 牙 等 技术 越 来 越 受 到 
人 们 的 追捧 。 与 此 同时 ， 在 相应 配套 产品 大 量 面世 之 后 ， 构 建 无 线 网 络 
所 需要 的 成 本 下 降 了 ， 一 时 间 ， 无 线 网 络 已 经 成 为 我 们 生活 的 主流 。 
目前 ， 随 着 3G、4G (LTE) 等 高 速 移动 网 络 的 面市 ， 移 动 网 络 成 为 生 
活 中 的 不 可 缺少 的 一 部 分 ， 很 多 商店 、 餐 馆 等 公共 场所 也 提供 了 很 多 


AMSAT™Y 
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IEEE 802.11 主 要 标准 


802.11-1997 2 Mbps 
802.11 a 54 Mbps 
802.11b 11 Mbps 
802.11g 54 Mbps 


802.11n 600 Mbps 


802.11 ac > 1 Gbps 
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802.11 协 议 组 是 国际 电工 电子 工程 学 会 AIEEE) 专门 为 无 线 局 域 网 络 制 
定 的 标准 。 原 始 标 准 制定 于 1997 年 、 工 作 在 2.4GHz 频 段 ， 速 率 最 高 只 
能 达到 2Mbps。 随 后 IEEE 又 相继 开发 了 802.11a 和 802.11b 两 个 标准 ， 
分 别 工 作 在 5GHz 和 2.4GHz 颍 段 。 这 两 个 标准 提供 的 信号 范围 有 差异 。 
5GHz 频 段 信号 衰减 严重 ,速率 高 ， 但 是 抗 干扰 能 力 差 ,传输 距 离 较 短 
。2.4GHz 频 段 抗 衰减 能 力 强 ， 传 输 距离 较 远 ， 因 而 允许 在 较 大 的 范围 内 
部 署 更 少 的 AP。 之 后 ，IEEE 还 发 布 了 802.11g，802.11n 和 802.11ac 标 


/ 续 o 


0 1080 


WLAN 解 决 方案 


> 


_R, 


NMS(eSight) 


无 线 接 入 点 (AP) 





中 小 企业 园区 一 般 面积 有 限 ， 因 而 通常 内需 要 部 署 一 个 两 层 架构 的 小 型 
无 线 网 络 就 可 以 满足 用 户 接 入 网 络 的 需求 。 接 入 控制 器 一 般 旁 挂 在 网 络 
的 核心 层 ， 而 不 是 直接 连接 接 从 点， 这 样 既 可 以 达到 无 线 网 络 赤 加 的 目 
的 ， 同 时 也 能 降低 对 现 有 企业 网 络 的 影响 。 
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® 无 线 接 入 点 的 重 二 信号 可 以 提供 覆盖 的 连续 性 。 
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每 个 接 入 点 只 能 覆盖 一 定 的 周边 面积 < 因为 受到 各 种 因素 以 及 障碍 物 的 
影响 ， 各 个 接 入 点 的 覆盖 面积 还 会 有 所 差异 。 障 碍 物 会 造成 信号 衰减 ， 
引起 信号 反射 进而 影响 信号 覆盖 范围 。 因 此 ， 为 了 扩大 覆盖 面积 ， 一 般 
将 多 个 AP 作 为 独立 的 单元 同时 部 署 ， 提 供 重 又 的 覆盖 区 域 ， 允 许 用 户 在 
几 个 AP 的 覆盖 面积 内 移动 时 可 以 无 缝 漫游。 合理 的 无 线 部 署 能 够 实现 整 
个 园区 的 全 面 覆 盖 ,消除 覆盖 盲区 。 

无 线 覆 盖 同 时 也 需要 考虑 网 络 安全 问题 。 不 同 于 有 线 以 太 连 接 ， 无 线 网 
络 的 范围 超出 建筑 物 或 局 点 的 物理 边界 之 外 时 ， 未 知 的 外 部 用 户 在 没有 
经 过 授权 的 情况 下 可 能 获取 到 无 线 资源 ， 从 而 带 来 网 络 安全 风险 。 
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WLAN 安 全 





认证 服务 器 


无 线 接 入 点 (AP) 


人 


x 


被 保护 的 数据 
未 授权 用 户 


S/ 
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为 了 维护 无 线 企 业 网 络 的 安全 性 , JEEE 设计 了 多 种 安全 机 制 。 

边界 安全 机 制 是 一 种 典型 的 无 线 安全 解决 方案 ， 能 够 保护 802.11 网 络 不 
受 来 自 非 法 AP、 非 法 用 户 、DoS 攻 击 的 威胁 。 

无 线 入 侵 检 测 系 统 可 以 用 来 检测 非法 用 户 和 非法 AP， 无 线 入 侵 防御 系统 
则 可 以 保护 企业 网 络 来 防御 非法 接 入 。 

用 户 接 入 安全 解决 方案 则 运用 链 路 认证 ， 接 入 认证 和 数据 加 密 等 网 络 接 
入 控制 方式 六 保证 数据 的 有 效 性 和 用 户 的 接 入 安全 ， 通 过 定义 用 户 权限 
来 管理 用 户 接 入 

业务 安全 是 无 线 网 络 的 另 一 个 安全 特性 ， 用 以 在 数据 传输 过 程 中 防止 合 
法 用 户 的 数据 被 非法 用 户 窃取 。 
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十 
总 结 


e 在 企业 网 络 中 部 署 WLAN 的 优势 有 哪些 ? 
e 在 部 署 WLAN 时 ， 需 要 考虑 哪些 问题 ? 
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1， 大 多 数 员 工 希 望 能 够 实现 移动 办 公 27/ 婚 方便 远程 会 议 又 方便 协同 合 
作 。 固 定 的 有 线 网 络 限制 了 办 公 的 灵活 性 ， 接 入 企业 网 络 的 用 户 数 
量 也 受制 于 有 线 连 接 。 而 无 线 局 域 网 则 允许 员工 移动 办 公 ， 灵 活 接 
入 。 

2 灵活 接 入 同时 也 带 来 了 更 大 的 安全 风险 ， 因 此 无 线 企 业 网 络 需要 监 
控 用 户 接 入 , A 以 保证 用 户 的 接 和 安全， 防止 公司 的 敏感 信息 被 窃取 。 
越 来 越 多 的 员工 开始 使 用 私人 设备 通过 无 线 局 域 网 接 入 到 企业 网 络 ， 
这 使 企业 网 络 更 容易 受到 病毒 、 恶 意 软件 、 间 谍 软 件 的 攻击 ， 成 为 
企业 网 络 最 大 的 安全 隐患 。 为 了 支持 更 多 的 业务 和 用 户 ， 无 线 局 域 
网 需要 提供 更 高 的 带宽 ， 因 而 需要 更 多 的 无 线 频谱 资源 。 
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谢谢 


Www.huawel.com 
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Module-2 


丰富 企业 网 络 间 的 互联 方式 


HDLC&PPP 原 理 与 配置 
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们 前 言 


广域网 中 经 常会 使 用 串 行 链 路 来 提供 远 距离 的 数据 传输 ， 高 级 数据 链 路 控 
制 HDLC ( High-Level Data Link Control ) 和 点 对 点 协议 PPP ( Point to 
Point Protocol) 是 两 种 典型 的 串口 封装 协议 。 
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侈 兰 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
e 掌握 HDLC 和 PPP 的 工作 原理 
e 掌握 HDLC 和 PPP 的 基本 配置 
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串 行 链 路 的 数据 传输 方式 


Stop | Data | Start 


和 一 1byke -一 > 


基于 DCE 时 钟 同步 


地 
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串 行 链 路 普遍 用 于 广域网 中 。 串 行 链 路 中 定义 了 两 种 数据 传输 方式 : 异 
步 和 同步 。 

异步 传输 是 以 字 节 为 单位 来 传输 数据 ， 并 且 需 要 采用 额外 的 起 始 位 和 停 
止 位 来 标记 每 个 字 节 的 开始 和 结束 。 起 始 位 为 二 进 制 值 0， 停 止 位 为 二 
进 制 值 1。 在 这 种 传输 方式 和 下， 开始 和 停止 位 占据 发 送 数 据 的 相当 大 的 
比例 ， 每 个 字 节 的 发 送 都 需要 额外 的 开销 。 

同步 传输 是 以 帧 为 单位 来 传输 数据 ， 在 通信 时 需要 使 用 时 钟 来 同步 本 端 
和 对 端的 设备 通信 。DCE 即 数据 通信 设备 ， 它 提供 了 一 个 用 于 同步 DCE 
设备 和 DTE 设 备 之 间 数 据 传输 的 时 钟 信号 。DTE 即 数据 终端 设备 ， 它 通 
常 使 用 DCE 产 生 的 时 钟 信号 。 
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HDLC 协 议 应 用 


S1/0/0 S1/0/0 


e High-level Data Link Control， 高 级 数据 链 路 控制 ， 简 称 HDLC ，" 是 一 种 
面向 比特 的 链 路 层 协议 。 
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ISO 制定 的 HDLC 是 一 种 面向 比特 的 通信 规则 。HDLC 传 送 的 信息 单位 为 

帧 。 作 为 面向 比特 的 同步 数据 控制 协议 的 典型 ，HDLC 具 有 如 下 特点 : 

1. 协议 不 依赖 于 任何 一 种 字符 编码 集 ; 

2.， 数据 报 文 可 透明 传输 入 用 于 透明 传输 的 “0 比特 插入 法 ”易于 硬件 实 
现 ; 

3， 全 双 工 通信 ， 不 必 等 待 确认 可 连续 发 送 数 据 ， 有 和 较 高 的 数据 链 路 传 
输 效 率 ; 

4. 所 有 想 均 亲 用 CRC 校 验 ， 并 对 信息 帧 进行 编号 ， 可 防止 漏 收 或 重 收 
从 传输 可 靠 性 高 ; 

5 传输 控制 功能 与 处 理 功 能 分 离 ， 具 有 较 大 的 灵活 性 和 较 完 善 的 控制 
功能 。 
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HDLC 帧 结构 


| Flag |Address | Control Information ] FCS | Flag 


N(S) |PF | N(R) 
1|0|s|s|Ppe| PF 


1|1|M|IM|IPFIM|IM|M 


e HDLC 有 三 种 类 型 的 帧 : 信息 帧 、 监 控 帧 、 无 编号 帧 。 
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完整 的 HDLC 帧 由 标志 字段 (F) 、 地 址 字段 (A) 、 控 制 字段 (C) 、 
信息 字段 (|) 、 帧 校 验 序列 字段 \ (FCS) 等 组 成 。 


1. 


标志 字段 为 01111110， 用 以 标志 帧 的 开始 与 结束 ， 也 可 以 作为 帧 与 
帧 之 间 的 填充 字符 。 


2， 地 址 字段 携带 的 是 地 址 信息 。 


5. 


控制 字段 用 于 构成 各 种 命令 及 响应 ， 以 便 对 链 路 进行 监视 与 控制 。 
发 送 方 利用 控制 字段 来 通知 接收 方 来 执行 约定 的 操作 ; 相反 ， 接 收 
方 用 该 字段 作为 对 命令 的 响应 ， 报 告 已 经 完成 的 操作 或 状态 的 变化 
言 息 字段 可 以 包含 任意 长 度 的 二 进 制 数 ， 其 上 限 由 FCS 字 段 或 通讯 
节 所 的 缓存 容量 来 决定 ， 目 前 用 得 较 多 的 是 1000-2000 比 特 ， 而 下 
限 可 以 是 0， 即 无 信息 字段 。 监 控 帧 中 不 能 有 信息 字段 。 

帧 检验 序列 字段 可 以 使 用 16 位 CRC 对 两 个 标志 字段 之 间 的 内 容 进行 


校 验 。 


HDLC 有 三 种 类 型 的 帧 : 


1 
2. 
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言 息 帧 (I 帧 ) 用 于 传送 有 效 信息 或 数据 ， 通 常 简称 为 | 帧 。 

监控 帧 〈S 帧 ) 用 于 差错 控制 和 流量 控制 ， 通 常 称 为 S 帧 。S 帧 的 标 
志 是 控制 字段 的 前 两 个 比特 位 为 "10"。S 帧 不 带 信息 字段 ， 只 有 6 个 
字 节 即 48 个 比特 。 

无 编号 帧 〈U 帧 ) 简称 U 帧 。U 帧 用 于 提供 对 链 路 的 建立 、 拆 除 以 及 
多 种 控制 功能 。 


HDLC 基 本 配置 


S1/0/0 S1/0/0 


10.0.1.1/30 


[RTA] interface Serial 1/0/0 
[RTA-Seriall/0/0]link-protocol hdlc 
Warning: The encapsulation Protocc 
Continue? [Y/N]:y 


[RTA-Seriall/0/0]ip address 
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用 户 只 需要 在 串 行 接口 视图 下 运行 jink<protocol hdlc 命 令 就 可 以 使 能 接 
口 的 HDLC 协 议 。 华 为 设备 上 的 串 行 接口 默认 运行 PPP 协 议 。 用 户 必须 
在 串 行 链 路 两 端的 端口 上 配置 相同 的 链 路 协议 ， 双 方才 能 通信 。 
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HDLC 接 口 地 址 借用 


Loopback 0 S1/0/0 S1/0/0 


10.1.1.1/32 10.1.1.1/32 10.1.1.2/24 


[RTA] interface Serial 1/0/0 
[RTA-Seriall/0/0]link-protocol hdlc 

Warning: The encapsulation pr 

Continue? [Y/N]:y 

[RTA-Seriall/0/0]ip address unnumbered interface 


[RTA]ip route-static 10.1.1.0 24 Serial 1/0/0 


e@ 串 行 接口 可 以 借用 Loopback 接 口 的 I|P 地 址 和 对 端 建立 连接 。 
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一 个 接口 如 果 没 有 IP 地 址 就 无 法 生成 路 由 ， 也 就 无 法 转发 报 文 。IP 地 址 
借用 允许 一 个 没有 IP 地 址 的 接口 从 其 它 接 口 借 用 IP 地 址 。 这 样 可 以 避免 
一 个 接口 独占 IP 地 址 ， 节 省 IP 地 址 资源 。 一 般 建议 借用 loopback 接 口 的 
IP 地 址 ， 因 为 这 类 接口 总 是 处 于 活跃 (active) 状态 ， 因 而 能 提供 稳定 
可 用 的 IP 地 址 。 

本 例 中 ， 在 RTA 的 SW0/0 接 口 配 置 完 接 口 地 址 借用 之 后 ， 还 需要 在 RTA 
上 配置 静态 路 由 ， 以 使 RTA 能 够 转发 数据 到 10.1.1.0/24 网 络 。 
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配置 验证 


[RTA]display ip interface brief 


*down: administrati 
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执行 display ip interface brief 命 令 可 以 查看 路 由 器 接口 简要 信息 。 如 
果 有 IP 地 址 被 借用 ， 该 IP 地 址 会 显示 在 多 个 接口 上 ， 说 明 借 用 loopback 
接口 的 IP 地 址 成 功 。 
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PPP 协 议 应 用 


S1/0/0 S1/0/0 


e PPP 协议 是 一 种 点 到 点 链 路 层 协议 ， 主 要 用 于 在 全 双 工 的 同 异步 链 路 上 
进行 点 到 点 的 数据 传输 。 
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PPP 协 议 是 一 种 点 到 点 链 路 层 协 议 ， 主 要 用 于 在 全 双 工 的 同 异步 链 路 上 
进行 点 到 点 的 数据 传输 。PPP 协 议 有 如 下 优点 : 


1. 


2. 


3. 
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PPP 既 支持 同步 传输 又 支持 异步 传输 ， 而 X.25、FR (Frame Relay 
) 等 数据 链 路 层 协 议 仅 支 持 同步 传输 ，SLIP 仅 支持 异步 传输 。 

PPP 协 议 具 有 很 好 的 扩展 性 ， 例 如 ， 当 需要 在 以 太 网 链 路 上 承载 
PPP 协 议 时 ，RPR 可 以 扩展 为 PPPoE。 

PPP 提 供 了 RCP (Link Control Protocol) 协议 ， 用 于 各 种 链 路 层 参 
数 的 协 商 。 

PPP 提 供 了 各 种 NCP (Network Control Protocol) 协议 (如 IPCP、 
IPXCP) ， 用 于 各 网 络 层 参 数 的 协商 ， 更 好 地 支持 了 网 络 层 协议 。 
PPP 提供 了 认证 协议 : CHAP ( Challenge-Handshake 
Authentication Protocol ) 、 PAP ( Password Authentication 
Protocol) ， 更 好 的 保证 了 网 络 的 安全 性 。 


无 重 传 机 制 ， 网 络 开销 小 ， 速 度 快 。 


PPP 组 件 


名 称 作用 


链 路 控制 协议 


Link Control Protocol 


用 来 建立 、 拆 除 和 监控 PPP 数 据 链 路 


网 络 层 控制 协议 用 于 对 不 同 的 网 络 层 协议 进行 连接 建立 和 参 
Network Control Protocol 数 协商 
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PPP 包 含 两 个 组 件 : 链 路 控制 协议 LCR 和 网 络 层 控 制 协议 NCP。 

为 了 能 适应 多 种 多 样 的 链 路 类 型 ) PPP 定 义 了 链 路 控制 协议 LCP。LCP 
可 以 自动 检测 链 路 环境 ， 如 是 否 存在 环 路 ;协商 链 路 参数 ， 如 最 大 数据 
包 长 度 ， 使 用 何 种 认证 协议 等 等 。 与 其 他 数据 链 路 层 协议 相 比 ，PPP 协 
议 的 一 个 重要 特点 是 月 以 提供 认证 功能 ， 链 路 两 端 可 以 协商 使 用 何 种 认 
证 协议 来 实施 认证 过 程 ， 只 有 认证 成 功 之 后 才 会 建立 连接 。 

PPP 定 义 了 忆 组 网 络 层 控 制 协 议 NCP， 每 一 个 NCP 对 应 了 一 种 网 络 层 协 
议 ， 用 于 协商 网 络 层 地 址 等 参数 ， 例 如 IPCP 用 于 协商 控制 IP 协 议 ， 
IPXCP 用 于 协商 控制 IPX 协 议 等 。 
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PPP 链 路 建立 过 程 


Establish Authenticate 


OO 
G 
G 
口 
m 
0 
@ 
三 
口 
乙 
看 


Terminate Network 
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对 于 PPP 链 路 建立 过 程 的 描述 如 下 : 


1. 
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Dead 阶 段 也 称 为 物理 层 不 可 用 阶段 。 当 通信 双方 的 两 端 检测 到 物理 
线路 激活 时 ， 就 会 从 Dead 阶 段 迁 移 至 Establish 阶段 ， 即 链 路 建立 阶 


-Xo 


在 Establish 阶段 RRBP 链 路 进行 LCP 参 数 协商 。 协 商 内 容 包 括 最 大 
接收 单元 MRI 认证 方式 、 魔 术 字 (Magic Number) 等 选项 。LCP 
参数 协商 成 功 后 会 进入 Opened 状 态 ， 表 示 底 层 链 路 已 经 建立 。 


.多 数 情 况 下 , 链 路 两 端的 设备 是 需要 经 过 认证 阶段 (Authenticate ) 


后 才能 够 进入 到 网 络 层 协议 阶段 。PPP 链 路 在 缺 省 情况 下 是 不 要 求 
进行 认证 的 。 如 果 要 求 认证 ， 则 在 链 路 建立 阶段 必须 指定 认证 协议 
ov 认 证 方式 是 在 链 路 建立 阶段 双方 进行 协商 的 。 如 果 在 这 个 阶段 再 
次 收 到 了 Configure-Request 报 文 ， 则 又 会 返回 到 链 路 建立 阶段 。 


， 在 Network 阶 段 ，PPP 链 路 进行 NCP 协 商 。 通 过 NCP 协 商 来 选择 和 


配置 一 个 网 络 层 协议 并 进行 网 络 层 参数 协商 。 只 有 相应 的 网 络 层 协 
议 协 商 成 功 后 ， 该 网 络 层 协议 才 可 以 通过 这 条 PPP 链 路 发 送 报 文 。 
如 果 在 这 个 阶段 收 到 了 Configure-Request 报 文 ， 也 会 返回 到 链 路 建 
立 阶 段 。 


.NCP 协商 成 功 后 ，PPP 链 路 将 保持 通信 状态 。PPP 运 行 过程 中 ， 可 


以 随时 中 断 连接 ， 例 如 物理 链 路 断 开 、 认 证 失败 、 超 时 定时 器 时 间 
、 管 理 员 通过 配置 关闭 连接 等 动作 都 可 能 导致 链 路 进入 Terminate 阶 


段 。 


. 在 Terminate 阶 段 ， 如 果 所 有 的 资源 都 被 释放 ， 通 信 双 方 将 回 到 


Dead 阶 段 ， 直 到 通信 双方 重新 建立 PPP 连 接 。 





PPP 帧 格式 


Address | Control | Protocol Information FCS | Flag 


LCP 报 文 封装 格式 Code | Identifier | Length Data. 


LCP 报 文 配置 参数 


的 封装 格式 。 肘 凡 尖 [EN boata I oata 
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PPP 采 用 了 he 


1. 


Flag 域 标识 一 个 物理 帧 的 起 始 和 结束 ， 该 字 节 为 二 进 制 序列 
01111110 (0X7E) 。 


PPP 帧 的 地 址 域 跟 HDKC 怖 的 地 址 域 有 差异 ，PPP 帆 的 地 址 域 字 节 因 
定 为 11111111 SCOXFEF) ， 是 一 个 广播 地 址 。 


PPP 数 据 帧 的 控制 式 默认 为 00000011(0X03)， 表 明 为 无 序号 帧 。 


4. 帧 校 验 序列 \FCS) 是 个 16 位 的 校 验 和 ， 用 于 检查 PPP 帧 的 完整 性 


oo 


协议 字段 用 来 说 明 PPP 所 封装 的 协议 报 文 类 型 ， 典 型 的 字段 值 有 : 
0XC021 代 表 LCP 报 文 ，0XC023 代 表 PAP 报 文 ，0XC223 代 表 CHAP 
报 义 。 

言 息 字段 包含 协议 字段 中 指定 协议 的 数据 包 。 数 据 字 段 的 默认 最 大 
长 度 (不 包括 协议 字段 ) 称 为 最 大 接收 单元 MRU (Maximum 
Receive Unit) ，MRU 的 缺 省 值 为 1500 字 节 。 


如 果 协 议 字段 被 设 为 0XC021 ， 则 说 明 通 信 双 方正 通过 LCP 报 文 进行 
PPP 链 路 的 协商 和 建立 : 


1. 


Code 字 段 ， 主 要 是 用 来 标识 LCP 数 据 报 文 的 类 型 。 典 型 的 报 文 类 型 
有 : 配置 信息 报 文 (Configure Packets: 0x01)， 配 置 成 功 信 息 报 文 
(Configure-Ack: 0X02)， 终 止 请 求 报 文 (Terminate-Request: 0X05) 


oo 


Identifier 域 为 1 个 字 节 ， 用 来 匹配 请 求 和 响应 。 
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3. Length 域 的 值 就 是 该 LCP 报 文 的 总 字 节 数据 。 
4. 数据 字段 则 承载 各 种 TLV (Type/Length/Value) 参数 用 于 协商 配置 
选项 ， 包 括 最 大 接收 单元 ， 认 证 协议 等 等 。 


0 1300 


示 完 全 接受 对 端 发 送 的 Configure- 
CaiimiaiisAE 表示 完全 接受 对 端 发 送 的 Configure-Request 的 参数 取 值 


表示 对 端 发 送 的 Configure-Request 中 的 某 些 参数 取 值 在 
本 端 不 被 认可 
表示 对 端 发 送 的 Configure-Request 中 的 某 些 参 数 本 端 不 


能 识别 


Configure-Nak 


Configure-Reject 
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此 表格 列 出 了 LCP 用 于 链 路 层 参数 协商 所 使 用 四 种 报 文 类 型 。 

1. Configure-Request (配置 请 求 )*: 链 路 层 协商 过 程 中 发 送 的 第 一 个 
报 文 ， 该 报 文 表明 点 对 点 双方 开始 进行 链 路 层 参 数 的 协商 。 

2. Configure-Ack (配置 响应 ) : 收 到 对 端 发 来 的 Configure-Request 报 
文 ， 如 果 参 数 取 值 完 全 接受 ， 则 以 此 报 文 响应 。 

3. Configure-Nak、 (配置 不 响应 ) : 收 到 对 端 发 来 的 Configure- 
Requesit 报 六 ， 如 果 参 数 取 值 不 被 本 端 认 可 ， 则 发 送 此 报 文 并 且 携 带 
本 端 可 接受 的 配置 参数 。 

4. Configure-Reject (配置 拒绝 ) : 收 到 对 端 发 来 的 Configure- 
Request 报 文 ， 如 果 本 端 不 -能 识别 对 端 发 送 的 Configure- Request 中 
的 某 些 参数 ， 则 发 送 此 报 文 并 且 携 带 那 些 本 端 不 能 认 别 的 配置 参数 


oo 


0 1310 


LCP 协 商 参数 


最 大 接收 单元 。” PPP 数据 帧 中 Information 字 段 和 Padding 字 段 


1500 字 节 
MRU 的 总 长 度 


认证 协议 。 认证 对 端 使 用 的 认证 协议 不 认证 
魔术 字 为 一 个 随机 产生 的 数字 ， 用 于 检测 链 
路 环 路 ， 如 果 收 到 的 LCP 报 文中 的 魔术 字 和 
本 端 产生 的 魔术 字 相 同 ， 则 认为 链 路 有 环 路 
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LCP 报 文 携带 的 一 些 常 见 的 配置 参数 有 MRU， 认 证 协议 ， 以 及 魔术 字 。 

1. 在 VRP 平 人 台 上 ，MRU 参 数 使 用 接口 上 配置 的 最 大 传输 单元 (MTU) 
值 来 表示 。 

2.， 常用 的 PPP 认 证 协议 有 PAP 和 CHAP， 一 条 PPP 链 路 的 两 端 可 以 使 
用 不 同 的 认证 协议 认证 对 端 ， 但 是 被 认证 方 必须 支持 认证 方 要 求 使 
用 的 认证 协议 并 正确 配置 用 户 名 和 密码 等 认证 信息 。 

3. LCP 使 用 魔术 字 来 检测 链 路 环 路 和 其 它 异常 情况 。 魔 术 字 为 随机 产 
生 的 全 个 数字 ， 随 机 机 制 需要 保证 两 端 产 生 相 同 魔术 字 的 可 能 性 几 
平 为 0。 

收 到 一 个 Configure-Request 报 文 之 后 ， 其 包含 的 魔术 字 需 要 和 本 地 产生 

的 魔术 字 做 比较 ， 如 果 不 同 ， 表 示 链 路 无 环 路 ， 则 使 用 Confugure-Ack 

报 文 确认 (其它 参数 也 协商 成 功 ) ， 表 示 魔 术 字 协商 成 功 。 在 后 续 发 送 

的 报 文中 ， 如 果 报 文 含 有 魔术 字 字 段 ， 则 该 字段 设置 为 协商 成 功 的 魔术 

字 。 
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LCP 链 路 参数 协商 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 


Configure-Request 


Configure-Ack 
= 
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如 图 所 示 ，RTA 和 RTB 使 用 串 行 链 路 相连 ， 运 行 PPP。 当 物理 层 链 路 变 
为 可 用 状态 之 后 ，RTA 和 RTB 使 用 SCP 协 商 链 路 参数 。 本 例 中 ，RTA 首 
先 发 送 一 个 Configure-Request 报 文 ， 此 报 文 中 包含 RTA 上 配置 的 链 路 层 
参数 。 当 RTB 收 到 此 Configure*Request 报 文 之 后 ， 如 果 RTB 能 识别 并 
接受 此 报 文中 的 所 有 链 路 层 参 数 ， 则 向 RTA 回 应 一 个 Configure-Ack 报 文 


RTA 在 没有 上 收 到 Configure-Ack 报 文 的 情况 下 ， 会 每 隔 3 秒 重 传 一 次 
Configure-Request 报 文 ， 如 果 连 续 10 次 发 送 Configure-Request 报 文 仍 
然 没 有 收 到 Configure-Ack 报 文 ， 则 认为 对 端 不 可 用 ， 停止 发 送 
Configure-Request 报 文 。 

注 : ` 完 成 上 述 过 程 只 是 表明 RTB 认 为 RTA 上 的 链 路 参数 配置 是 可 接受 的 
。"RTB 也 需要 向 RTA 发 送 Configure-Request 报 文 ， 使 RTA 检 测 RTB_ 上 
的 链 路 参数 是 不 是 可 接受 的 。 
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LCP 链 路 参数 协商 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 


Configure-Request 


Configure-Nak 
3 


Configure-Request (修改 配置 参数 ) 
一 一 一 一 
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当 RTB 收 到 RTA 发 送 的 Configure:ReqUuest 报 文 之 后 ， 如 果 RTB 能 识别 
此 报 文中 携带 的 所 有 链 路 层 参 数 \ 但 是 认为 部 分 或 全 部 参数 的 取 值 不 能 
接受 ， 即 参数 的 取 值 协商 不 成 功 ， 则 RTB 需 要 向 RTA 回 应 一 个 
Configure-Nak 报 文 。 

在 这 个 Configure-Nak 报 文中 ， 只 包含 不 能 接受 的 链 路 层 参数 ， 并 且 此 
报 文 所 包含 的 链 路 层 参 数 均 被 修改 为 RTB 上 可 以 接受 的 取 值 (或 取 值 范 
围 ) 。 

在 收 到 Configure*Nak 报 文 之 后 ，RTA 需 要 根据 此 报 文中 的 链 路 层 参 数 
重新 选择 本 地 配置 的 其 它 参 数 ， 并 重新 发 送 一 个 Configure-Request。 
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LCP 链 路 参数 协商 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 


Configure-Request 


Configure-Reject 
Configure-Request (删除 某 些 参 数 ) 
-一 一 一 
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当 RTB 收 到 RTA 发 送 的 Configure:Request 报 文 之 后 ， 如 果 RTB 不 能 识 
别 此 报 文中 携带 的 部 分 或 全 部 链 路 层 参 数 ， 则 RTB 需 要 向 RTA 回 应 一 个 
Configure-Reject 报 文 。 在 此 Configure-Reject 报 文中 ， 只 包含 不 能 被 识 
别 的 链 路 层 参 数 。 

在 收 到 Configure-Rejéct 报 文 之 后 ，RTA 需 要 向 RTB 重 新 发 送 一 个 
Configure-Request 报 文 ， 在 新 的 Configure-Request 报 文中 ， 不 再 包含 
不 被 对 端 (RTB) 识别 的 参数 。 
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PPP 基 本 配置 


S1/0/0 S1/0/0 


10.1.1.1/30 10.1.1.2/30 


[RTA] interface Serial 1/0/0 
[RTA-~Seriall/0/0]link-protocol p 
Warning: The encapsulation protocol of the link will be 
Continue? [Y/N]:y 


[RTA: 
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建立 PPP 链 路 之 前 ， 必 须 先 在 串 行 接 加 上 生 配置 链 路 层 协 议 。 华 为 ARG3 
系列 路 由 器 默认 在 串 行 接口 上 使 能 PPP 协 议 。 如 果 接 口 运行 的 不 是 PPP 
协议 ， 需 要 运行 link-protocolppp 命 令 来 使 能 数据 链 路 层 的 PPP 协 议 。 
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PPP 认 证 模式 -PAP 


S1/0/0 S1/0/0 被 认证 方 
10.1.1.1/30 10.1.1.2/30 


一 一 一 一 一 一 一 一 Authenticate-Request 
检查 被 认证 方 发 送 的 明文 发 送 用 户 名 和 密码 
用 户 名 和 密码 信息 是 < 
否 正确 Authenticate-Ack/Authenticate-Nak 
认证 成 功 / 失 败 
一 -一 
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PAP 认 证 的 工作 原理 较为 简单 。PAP 炙 证 秩 议 为 两 次 握手 认证 协议 ， 密 
码 以 明文 方式 在 链 路 上 发 送 。 

LCP 协 商 完成 后 ， 认 证 方 要 求 被 认证 方 使 用 PAP 进 行 认证 。 

被 认证 方 将 配置 的 用 户 名 和 和 密码 信息 使 用 Authenticate-Request 报 文 以 
明文 方式 发 送 给 认证 方 5 

认证 方 收 到 被 认证 广发 送 的 用 户 名 和 密码 信息 之 后 ， 根 据 本 地 配置 的 用 
户 名 和 密码 数据 库 检 查 用 户 名 和 密码 信息 是 否 匹 配 ， 如 果 匹 配 ， 则 返回 
Authenticate-Ack 报 文 ， 表 示 认 证 成 功 。 否 则 ， 返 回 Authenticate-Nak 报 
文 ， 表示 认证 失败 。 
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PPP 认 证 模式 -CHAP 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 


被 认证 方 








Challenge 使 用 Challenge 加 密 密 | 
码 信息 














使 用 Challenge 加 密 密 Response 
码 信息 ， 与 收 到 的 加 
密 密 码 信息 做 比较 


Sucess/Failure 
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CHAP 认 证 过 程 需 要 三 次 报 文 的 交互 < 汐 了 匹配 请 求 报 文 和 回应 报 文 ， 
报 文中 含有 Identifier 字 段 ， 一 次 认证 过 程 所 使 用 的 报 文 均 使 用 相同 的 
lIdentifier 信 息 。 


1s 


LCP 协 商 完成 后 ， 认 证 方 发 送 一 个 Challenge 报 文 给 被 认证 方 ， 报 文 
中 含有 Identifier 信 \ 息 和 一 个 随机 产生 的 Challenge 字 符 串 ， 此 
Identifier 即 为 后 续 报 文 所 使 用 的 Identifier。 

被 认证 方 收 到 此 Challenge 报 文 之 后 ， 进 行 一 次 加 密 运算 ， 运 算 公 式 
为 MD5{ Identifier + 密码 + Challenge }， 意 思 是 将 ldentifier、 密 码 和 
Challenge 三 部 分 连 成 一 个 字符 串 ， 然 后 对 此 字符 串 做 MD5 运 算 ， 得 
到 一 个 16 字 节 长 的 摘要 信息 ， 然 后 将 此 摘要 信息 和 端口 上 配置 的 
GHAP 用 户 名 一 起 封装 在 Response 报 文中 发 回 认 证 方 。 

认证 方 接收 到 被 认证 方 发 送 的 Response 报 文 之 后 ， 按 照 其 中 的 用 户 
名 在 本 地 查找 相应 的 密码 信息 ， 得 到 密码 信息 之 后 ， 进 行 一 次 加 密 
运算 ， 运 算 方 式 和 被 认证 方 的 加 密 运 算 方式 相同 ， 然 后 将 加 密 运 算 
得 到 的 摘要 信息 和 Response 报 文中 封装 的 摘要 信息 做 比较 ， 相 同 则 
认证 成 功 ， 不 相同 则 认证 失败 。 


使 用 CHAP 认 证 方式 时 ， 被 认证 方 的 密码 是 被 加 密 后 才 进行 传输 的 ， 这 
样 就 极 大 的 提高 了 安全 性 。 
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IPCP 静 态 地 址 协商 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 


Configure-Request(10.1.1.1) 


Configure-Ack 


Configure-Request(10.1.1.2) 


Configure-Ack 
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IPCP 使 用 和 LCP 相 同 的 协商 机 制 、 报 文 类 型 ， 但 IPCP 并 非 调用 LCP， 
只 是 工作 过 程 、 报 文 等 和 LCP 相 同 。 

IP 地 址 协商 包括 两 种 方式 : 静态 配置 协商 和 动态 配置 协商 。 

如 图 所 示 ， 两 端 路 由 器 配置 的 IP 地 址 分 别 为 10.1.1.1/30 和 10.1.1.2/30。 
静态 IP 地 址 的 协商 过 程 如 人 下: 

1. 每 一 端 都 要 发 送 Configure-Request 报 文 ， 在 此 报 文 中 包含 本 地 配置 
的 IP 地 址 ; 


2. 每 一 端 接收 到 此 Configure-Request 报 文 之 后 ， 检 查 其 中 的 IP 地 址 ， 
如 果 IR 地 址 是 一 个 合法 的 单 播 IP 地 址 ， 而 且 和 本 地 配置 的 IP 地 址 不 同 ( 
没有 IP 冲 突 ) ， 则 认为 对 端 可 以 使 用 该 地 址 ， 回 应 一 个 Configure-Ack 报 
文 。 
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IPCP 动 态 地 址 协商 


S1/0/0 S1/0/0 
10.1.1.2/30 


Configure-Request(0.0.0.0) 
Configure-Nak (10.1.1.1) 
Configure-Request(10.1.1.1) 


Configure-Ack 
Ee 


Configure-Request(10.1.1.2) 


Configure-Ack 
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两 端 动态 协商 IP 地 址 的 过 程 如 下 : 


1. 


4. 


RTA 向 RTB 发 送 一 个 Configure-Request 报 文 ， 此 报 文中 会 包含 一 个 
IP 地 址 0.0.0.0， 表 示 向 对 端 请 求 IP 地 址 ; 

RTB 收 到 上 述 Configure;Request 报 文 后 ， 认 为 其 中 包含 的 地 址 ( 
0.0.0.0) 不 合法 # 使 用 Configure-Nak 回 应 一 个 新 的 IP 地 址 10.1.1.1 


RTA 收 到 此 Configure-Nak 报 文 之 后 ， 更 新 本 地 IP 地 址 ， 并 重新 发 送 
一 个 Configure-Request 报 文 ， 包 含 新 的 IP 地 址 10.1.1.1; 

RTB 收 到 Configure-Request 报 文 后 ， 认 为 其 中 包含 的 IP 地 址 为 合法 
地 址 ， 回 应 一 个 Configure-Ack 报 文 。 


同时 ，RTB 也 要 向 RTA 发 送 Configure-Request 报 文 请 求 使 用 地 址 
10.1.1.2，RTA 认 为 此 地 址 合法 ， 回 应 Configure-Ack 报 文 。 
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PAP 认 证 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 





ce Serial 
)]link-protocol ppF 


0/0]ppp authentication-mode pap 





ip address 10.1.1.1 30 





Serial 1/0/0 
0] link-protocol ppp 


0]ppp pap local-user huawei passwor 














0] ip address 10.1.1.2 30 
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local-user huawei password cipherhuawei 命 令 用 于 创建 一 个 本 地 用 
户 , 用 户 名 为 “huawei” ， 密 码 为 六 huawei” ， 关 键 字 “cipher” 表示 
密码 信息 在 配置 文件 中 被 加 密 。 

local-user huawei service-typbe ppp 命 令 用 于 设置 用 户 “huawei” 为 
PPP 用 户 。 

ppp authentication-mode pap 命 令 用 于 在 认证 方 开启 PAP 认 证 的 功能 
， 即 要 求 对 端 使 用 PAP 认 证 。 

ppp pap'local-user huawei password cipher huawei 命 令 用 于 在 被 
认证 方 配置 PAP 使 用 的 用 户 名 和 密码 信息 。 
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配置 验证 


<RTB>debugging ppp pap all 
Aug 20 2013 04:50:24.280.4+00:00 RTB PPP/7/debug2: 
Change: 
Seriall/0/0 PAP : Initial > SendRequest 
2013 04:50:24.290.3+00:00 RTB PPP/7 
" State Change: 


Seriall/0/0 PAP : SendRequest -- 
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配置 CHAP 认 证 模式 


S1/0/0 S1/0/0 
10.1.1.1/30 10.1.1.2/30 


RTA] aaa 
aaa]local-user huawei password cipher huawei 
TA-~aaa] local-user huawei service-type PPP 
RTA]interface Serial 1/0/ 

RTA-~Seriall/0/0 


RTA-Seriall/0/0]ppp authen 
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local-user huawei password cipherhuawei 命 令 用 于 创建 一 个 本 地 用 
户 ， 用 户 名 为 “huawei”， 密 码 为 Xhuawei”; 关键 字 “cipher” 表示 
密码 信息 在 配置 文件 中 加 密 保存 。 

local-user huawei service-typbe ppp 命 令 用 于 设置 用 户 “huawei” 为 
PPP 用 户 。 

ppp authentications=mode chap 命 令 用 于 在 认证 方 开 启 CHAP 认 证 的 功 
能 ， 即 要 求 对 端 使 用 CHAP 认 证 。 

ppp chap\userhuawei 命 令 用 于 在 被 认证 方 设置 CHAP 使 用 的 用 户 名 为 

“huawei” 3 


ppp.chap password cipher huawei 命 令 用 于 在 被 认证 方 设置 CHAP 使 
用 的 密码 为 “huawei” 。 


0 1430 


0 1440 





配置 验证 


<RTB>debugging ppp chap : 


Aug 20 2013 05:15:54.230. 00 F P/7/debug2: 
PPP State C 
Serisa A s Tnitgial > ListenChallenge 


"P/T/debug2: 


lenge --> SendRespons 

















"PP/7/debug2: 


Change: 











QAO 
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@ 发 送 端 在 发 送 Configure-Request 之 后 ， 收 到 哪个 消息 才能 表示 PPP 链 
路 建立 成 功 ? 
e@ CHAP 认 证 方式 需要 交互 几 次 报 文 ? 
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1. 如 果 使 用 PPP 作 为 链 路 层 封装 协议 ;/ 需 要 建立 PPP 链 路 的 两 端 设 备 
都 必须 发 送 Configure-Request 报 文 ， 当 每 个 设备 均 已 收 到 对 端 发 来 
的 Configure-Ack 报 文 后 ， 融 表示 链 路 的 建立 过 程 已 成 功 完成 。 

2. CHAP 认 证 协议 为 三 次 握手 认证 协议 ， 需 要 交互 三 次 报 文 来 认证 对 
方 身份 。 


0 1450 


谢谢 


Www.huawel.com 
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帧 中 继 原 理 与 配置 





0 1470 


们 前 言 


帧 中 继 FR (Frame Relay) 协议 工作 在 OSI 参考 模型 的 数据 链 路 层 ， 是 一 种 主 
要 应 用 在 运营 商 网 络 中 的 广域网 技术 。 当 企业 网 络 需要 使 用 帧 中 继 技 术 与 
运营 商 网 络 相 连 时 ， 管 理 员 也 需要 了 解 帧 中 继 的 工作 原理 ， 并 具备 相应 的 
故障 处 理 能 力 。 
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@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 帧 中 继 的 工作 原理 
。 掌握 帧 中 继 的 基本 配置 
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帧 中 继 的 应 用 场景 


加 帧 中 继 网 络 园 
天 


e 企业 的 总 部 和 分 支 机 构 可 以 通过 运营 商 的 帧 中 继 网 络 相连 % 
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PPP、HDLC、X.25、FR、ATM 都 是 常见 的 广域网 技术 。PPP 和 HDLC 
是 一 种 点 到 点 连接 技术 ， 而 X.25s FR 和 ATM 则 属于 分 组 交换 技术 。 
X.25 协 议 主要 是 描述 如 何在 DTE 和 DCE 之 间 建 立 虚 电 路 、 传 输 分 组 、 建 
立 链 路 、 传 输 数据 、 拆 除 链 路 、 拆 除 虚 电路 、 同 时 进行 差错 控制 、 流 量 
控 量 、 情 况 统计 等 。 

帧 中 继 协 议 是 一 种 简化 了 X.25 的 广域网 协议 ， 它 在 控制 层面 上 提供 了 虚 
电路 的 管理 < 融 宽 管理 和 防止 阻塞 等 功能 。 与 传统 的 电路 交换 相 比 ， 它 
可 以 对 物理 电路 实行 统计 时 分 复 用 ， 即 在 一 个 物理 连接 上 可 以 复 用 多 个 
逻辑 连接 实现 了 带宽 的 复 用 和 动态 分 配 ， 有 利于 多 用 户 、 多 速率 的 数 
据 传 输 > 充分 利用 了 网 络 资源 。 

帧 中 继 工作 在 OSI 参考 模型 的 数据 链 路 层 。 与 X.25 协 议 相 比 ， 帧 中 继 的 
一 个 显著 的 特点 是 将 分 组 交换 网 中 差错 控制 、 确 认 重 传 、 流 量 控制 、 拥 
塞 避免 等 处 理 过 程 进 行 了 简化 ， 缩 短 了 处 理 时 间 ， 提 高 了 数字 传输 通道 
的 利用 率 。 新 的 技术 诸如 MPLS 等 的 大 量 涌 现 ， 使 得 帧 中 继 网 络 的 部 署 
逐渐 减少 。 如 果 企 业 不 得 不 使 用 运营 商 的 帧 中 继 网 络 服务 ， 则 企业 管理 
员 必 须 具备 在 企业 边缘 路 由 器 上 配置 和 维护 帧 中 继 的 能 力 。 


0 1500 


帧 中 继 网 络 





e 帧 中 继 网 络 提 供 了 用 户 设备 之 间 进 行 数据 通信 的 能 
e 用 户 设备 被 称 作 数 据 终端 设备 DTE。 为 用 户 设备 提供 网 络 接 入 的 设备 被 
称 为 数据 电路 终结 设备 DCE。 
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帧 中 继 网 提供 了 用 户 设备 (如 路 由 器 和 主机 等 ) 之 间 进 行 数据 通信 的 能 
力 。 
用 户 设备 被 称 作 数 据 终端 设备 DTE (Data Terminal Equipment) 。 


为 用 户 设备 提供 接 入 的 设备 ) 属于 网 络 设 备 ， 被 称 为 数据 电路 终结 设备 
DCE (Data Circuit-terminating Equipment) 。 


0 1510 


e 帧 中 继 网 络 采用 虚 电 路 来 连接 网 络 两 端的 帧 中 继 设 备 。 
e 每 条 虚 电 路 采用 数据 链 路 连接 标识 符 DLCI 来 进行 标识 4 
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帧 中 继 是 一 种 面向 连接 的 技术 ， 在 通信 之 前 必须 建立 连接 ，DTE 之 间 建 

立 的 连接 称 为 虚 电 路 。 帧 中 继 虚 电路 有 两 种 类 型 : PVC 和 SVC。 

1， 永 久 虚 电路 PVC (Permanent'yVirtual Circuit) : 是 指 给 用 户 提 供 的 
固定 的 虚 电 路 ， 该 虚 上 电路 一 旦 建立 ， 则 永久 生效 ， 除 非 管 理 员 手动 
删除 。PVC 一 般 用 于 两 端 之 间 频 繁 的 、 流 量 稳 定 的 数据 传输 。 目 前 
在 帧 中 继 中 使 用 最 多 的 方式 是 永久 虚 电 路 方式 。 

2.， 交换 虚 电 路 SVC (Switched Virtual Circuit) : 是 指 通过 协议 自动 分 
配 的 虚 电 路 ,在 通 信 结 束 后 ， 该 虚 电 路 会 被 自动 取消 。 一 般 突 发 性 
的 数据 传输 多 用 SVC。 

帧 申 继 协 议 是 一 种 统计 复 用 协议 ， 它 能 够 在 单一 物理 传输 线路 上 提供 多 

条 虚 电 路 ， 每 条 虚 电 路 采用 数据 链 路 连接 标识 符 DLCI (Data Link 

Connection ldentifier) 来 进行 标识 。DLCI 只 在 本 地 接口 和 与 之 直接 相 

连 的 对 端 接口 有 效 ， 不 具有 全 局 有 效 性 ， 即 在 帧 中 继 网 络 中 ， 不 同 的 物 

理 接口 上 相同 的 DLCI 并 不 表示 是 同一 个 虚 电 路 。 用 户 可 用 的 DLCI 的 取 

值 范围 是 16 一 1022， 其 中 1007 到 1022 是 保留 DLCI。 


0 1520 


LMI 协 商 过 程 


DLCI 100 
S1/0/0 


10.1.1.1/24 


决定 链 路 状态 和 PVC 状 态 


。 本 地 管理 接口 LMI 协 议 通过 状态 查询 报 文 和 状态 应 答 报 文 维 的 帧 市 继 的 
链 路 状态 和 PVC 状 态 。 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Vb HUAWEI 


PVC 方 式 下 ， 不 管 是 网 络 设备 还 是 用 户 设备 都 需要 知道 PVC 的 当前 状态 
。 监 控 PVC 状 态 的 协议 叫 本 地 管理 接口 LMI (Local Management 
Interface) 。LMI 协 议 通 过 状态 查询 报 文 和 状态 应 答 报 文 维护 帧 中 继 的 
链 路 状态 和 PVC 状 态 。LMI 用 于 管理 PVC ， 包 括 PVC 的 增加 、 删 除 ， 
PVC 链 路 完整 性 检测 ,SPVG 的 状态 等 。 

LMI 协 商 过 程 如 下 : 

1. DTE 端 定时 发 送 状态 查询 消息 (Status Enquiry) 。 

2. DCE 端 收 到 查询 消息 后 ， 用 状态 消息 (Status) 应 答 状 态 查 询 消 息 


3. “DTE 人 解析 收 到 的 应 答 消息 ， 以 了 解 链 路 状态 和 PVC 状 态 。 


4 当 两 端 设备 LMI 协 商 报 文 收发 正确 的 情况 下 ，PVC 状 态 将 变 为 Active 
状态 。 
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Inverse ARP 协 商 过 程 


RTA RTB 


帧 中 继 网 络 
DLCI100 
轩 园 DLCI 200 TE 
10.1.1.1/24 10.1.1.2/24 
CE 


DCE D 


交换 机 通知 DLCI 100 交换 机 通知 DLCI 200 
和 一 


RTA 向 DLCI200 通 知 IP 10.1.1.1 


RTB 向 DLCI 100 通 知 IP 10.1.1.2 


@ 逆向 地 址 解析 协议 (Inverse ARP) 的 主要 功能 是 获取 虚 电 路 对 端 设备 
的 IP 地 址 。 
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逆向 地 址 解析 协议 InARP (lnverse ARP) 的 主要 功能 是 获取 每 条 虚 电 

路 连接 的 对 端 设 备 的 IP 地 址 。 如 果 知 道 了 某 条 虚 电 路 连接 的 对 端 设 备 的 

IP 地 址 ， 在 本 地 就 可 以 生成 对 端 IR 地 址 与 本 地 DLCI 的 映射 ， 从 而 避免 手 

工 配 置地 址 映射 。 

当 帧 中 继 LMI 协 商 通过 沪 PVC 状 态 变 为 Active 后 ， 就 会 开始 InARP 协 商 过 

程 。 

InARP 协 商 过 程 如 下 : 

1， 如 果 本 地 接口 上 已 配置 了 IP 地 址 ， 那 么 设备 就 会 在 该 虚 电 路 上 发 送 
Inverse ARP 请 求 报 文 给 对 端 设备 。 该 请 求 报 文 包 含有 本 地 的 IP 地 址 

2、 对 端 设备 收 到 该 请 求 后 ， 可 以 获得 本 端 设备 的 IP 地 址 ， 从 而 生成 地 
址 映射 ， 并 发 送 Inverse ARP 响 应 报 文 进行 响应 。 

3. 本 端 收 到 Inverse ARP 响 应 报 文 后 ， 解 析 报 文中 的 对 端 IP 地 址 ， 也 生 
成 地 址 映射 。 

本 例 中 ，RTA 会 生成 地 址 映射 (10.1.1.2<--->100) ，RTB 会 生成 地 址 

映射 〈10.1.1.1<--->200) 。 

经 过 LMI 和 InARP 协 商 后 ， 帧 中 继 接口 的 协议 状态 将 变 为 Up 状态 ， 并 且 

生成 了 对 端 IP 地 址 的 映射 ， 这 样 PVC 上 就 可 以 承载 IP 报 文 了 。 


0D 1540 


帧 中 继 和 水 平分 割 




















RTB 的 路 由 更 新 信息 | 











e RTB 通 告 给 RTA 一 条 路 由 信息 ， 但 由 于 水 平分 割 机 制 ，RTA 不 能 通过 接 
收 此 路 由 信息 的 Serial1/0/0 接 口 将 此 路 由 信息 转发 给 RTC。 
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为 了 减少 路 由 环 路 的 产生 ， 路 由 协议 的 水 平分 割 机 制 不 允许 路 由 器 把 从 
一 个 接口 接收 到 的 路 由 更 新 信息 再 从 该 接口 发 送出 去 。 水 平分 割 机 制 虽 
然 可 以 减少 路 由 环 路 的 产生 ， 但 有 时 也 会 影响 网 络 的 正常 通信 。 例 如 ， 
本 例 中 ，RTB 想 通过 RTA 转 发 路 由 信息 给 RTC， 但 由 于 开启 了 水 平分 割 ， 
RTA 无 法 通过 S1/0/0 接 口 向 RTC 转 发 RTB 的 路 由 信息 。 


0 1550 


帧 中 继 子 接口 





e 在 一 个 物理 接口 上 配置 多 个 子 接口 ， 每 个 子 接口 使 用 一 条 虚 电 路 连接 到 
对 端的 路 由 器 ， 这 样 就 可 以 解决 水 平分 割 带 来 的 问题 。 
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子 接口 可 以 解决 水 平分 割 带 来 的 问题 凤 一 个 物理 接口 可 以 包含 多 个 逻辑 
子 接口 ， 每 一 个 子 接口 使 用 一 个 或 多 个 DLCI 连 接 到 对 端的 路 由 器 。 本 例 
中 ，RTA 通 过 子 接口 S1/0/0.1 接 收 到 来 自 RTB 的 路 由 信息 ， 然 后 将 此 信 
息 通过 子 接口 S1/0/0.2 转 发 给 RTC 。 

帧 中 继 的 子 接口 分 为 两 种 类 型 。 

点 到 点 (point-to3Boint) 子 接口 : 用 于 连接 单个 远 端 设备 。 一 个 子 接口 
只 配 一 条 PVC 改 不 用 配置 静态 地 址 映射 就 可 以 唯一 地 确定 对 端 设备 。 
点 到 多 点 pointto-multipoint) 子 接口 : 用 于 连接 多 个 远 端 设备 。 一 个 
子 接口 上 配置 多 条 PVC， 每 条 PVC 都 和 它 相 连 的 远 端 协议 地 址 建立 地 址 
映射 ,这 样 不 同 的 PVC 就 可 以 到 达 不 同 的 远 端 设备 。 
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帧 中 继 配 置 -动态 映射 


RTA 


DLCI 100 帧 中 继 网 络 DLCI 200 
DTE Serial 1/0/0 Serial 1/0/0 
10.1.1.1/24 10.1.1.2/24 


DCE DCE 


[RTA] interface Serial 1/0/0 
‘0/0] link=protocol fr 
Warning: The encapsulation protoc 
Continue? [Y/ 
0]fr interface-type dte 


r inarp 


e RTB 也 需要 配置 动态 映射 。 
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link-protocol fr 命令 用 来 指定 接口 链 路 层 协议 为 帧 中 继 协议 。 当 封装 帧 中 
继 协 议 时 ， 缺 省 情况 下 ， 帧 的 封装 格式 为 IETF。 

fr interface-type { dce | dte } 命 念 用 来 设置 帧 中 继 接口 类 型 。 缺 省 情况 下 
， 帧 中 继 接口 类 型 为 DTE& 在 实际 应 用 中 ，DTE 接 口 只 能 和 DCE 接 口 直 
连 。 如 果 把 设备 用 作 帧 中 继 交 换 机 ， 则 帧 中 继 接口 类 型 应 该 为 DCE。 

fr inarp 命 令 用 来 使 能 帧 中 继 逆向 地 址 解析 功能 。 缺 省 情况 下 ， 该 功能 已 
被 使 能 。 


0 1570 


配置 验证 


[RTA]display f£ 
PVC statistics f 
DLCI = 100, 
create time = 2013/0 
InaRP = Enable, 
in packets = 6, 


out packets = 7 


e time = 2013/08/20 


encapsulation 上 起 万 帮主 二 让 长 
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display fr pvc-info 命 令 可 以 用 米 查 看 帧 中 继 虚 电路 的 配置 情况 和 统计 
信息 。 

在 显示 信息 中 ，DLCI 表 示 虚 电路 的 标识 符 。USAGE 表 示 此 虚 电 路 的 来 
源 。LOCAL 表 示 PVC 是 本 地 配置 的 ， 如 果 是 UNUSED， 则 表示 PVC 是 
从 DCE 侧 学 习 来 的 。status 表 示 虚 电路 状态 。 可 能 的 取 值 有 有 : active: 表 
示 虚 电路 处 于 激活 状态 。inactive: 表示 虚 电路 处 于 未 激活 状态 。InARP 
表示 是 否 使 能 InARPR 功 能 。 
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帧 中 继 配置 - 静态 映射 


DLCI 100 帧 中 继 网 络 
Serial 1/0/0 


10.1.1.1/24 


e RTB 也 需要 配置 静态 映射 。 
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DLCI 200 
Serial 1/0/0 
10.1.1.2/24 





Wb huawel 


fr map ip [destination-address [ mask jdici-numbenl 命 令 用 来 配置 一 个 


目的 IP 地 址 和 指定 DLCI 的 静态 映射 。 


如 果 DCE 侧 设备 配置 静态 地 址 映射 ，DTE 侧 启动 动态 地 址 映射 功能 ， 则 
DTE 侧 不 需要 再 配置 静态 地 扯 映 射 也 可 实现 两 端 互通 。 反 之 ， 如 果 DCE 
配置 动态 地 址 映射 ,, DTE 配 置 静态 地 址 映射 ， 则 不 能 实现 互通 。 


fr map ip [destinationzaddress [ mask ] dici-numberl broadcast 命 令 用 


来 配置 该 映射 上 可 以 发 送 广播 报 文 。 


0 1590 


配置 验证 


[RTA]display fr pvc-inf 
DLCI = 100, USAGE = LOCAL (O00 )) ， Serial1l/0/0 
create time = 2013/08/20 09 :59, status = ACTIVE 
InRRP = Disable, PVC 


in 


[RTA]display fr map-info 
Map Statistics for interface Seriall/0/0 {DTE) 
DLCI = 100, IP 
create time 2013/08/20 2:45:48 status 


encapsulation 
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display fr map-info 命 令 用 来 显示 帧 申 继 地 址 映射 表 ， 可 以 显示 当前 设 
备 上 目的 IP 地 址 和 DLCI 的 映射 关系 Nstatus 表 示 地 址 映射 的 状态 。 


0 1600 


e 帧 中 继 网 络 中 DLCI 的 作用 是 什么 ? 
e Inverse ARP 在 帧 中 继 中 有 什么 作用 ? 
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1，DLCI 是 数据 链 路 连接 标识 ， 每 条 虚 电路 用 它 来 进行 标识 。DLCI 只 在 
本 地 接口 和 与 之 直接 相连 的 对 端 接口 有 效 ， 不 具有 全 局 有 效 性 ， 即 

在 帧 中 继 网 络 中 ， 不 同 物理 接口 上 相同 的 DLCI 并 不 表示 同一 个 虚 连 
接 。 

2， 逆 向 地 址 解析 协议 yerse ARP 可 以 用 来 获取 每 条 虚 电路 连接 的 对 端 
设备 的 IP 地 址 % 然 后 在 本 地 形成 对 端 IP 地 址 与 DLCI 的 映射 关系 。 
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谢谢 


Www.huawel.com 
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PPPoE 原 理 和 配置 





0 1630 


0 1640 





俏 前 


数字 用 户 线路 DSL(Digital Subscriber Line) 是 以 电话 线 为 传输 介质 的 传输 
技术 ， 人 们 通常 把 所 有 的 DSL 技 术 统 称 为 xDSL，x 代 表 不 同 种 类 的 数字 用 
户 线路 技术 。 目 前 比较 流行 的 宽带 接 入 方式 为 ADSL，ADSL 是 非 对 称 DSL 
技术 ， 使 用 的 是 PPPoE (PPP over Ethernet) 协议 。 

PPPoE 协 议 通 过 在 以 太 网 上 提供 点 到 点 的 连接 ， 建 立 PPP 会 话 ， 使 得 以 太 
网 中 的 主机 能 够 连接 到 远 端的 宽带 接 入 服务 器 上 。PPPoE 具 有 适用 范围 广 、 
安全 性 高 、 计 费 方 便 等 特点 。 


5S 
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(@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
e 掌握 PPPoE 连 接 协商 过 程 
e 掌握 PPPoE 的 配置 
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DSL 应 用 场景 


住宅 /SOHO 


e 数字 用 户 线路 DSL 是 以 电话 线 为 传输 介质 的 传输 技术 。 
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DSL 是 一 种 利用 现 有 电话 网 络 实现 数据 通信 的 宽带 技术 。 在 使 用 DSL 接 
入 网 络 时 ， 用 户 侧 会 安装 调制 解 调 器 ， 然 后 通过 现 有 的 电话 线 与 数字 用 
户 线路 接 入 复 用 器 (DSLAM)\ 相连。DSLAM 是 各 种 DSL 系 统 的 局 端 设 
备 ， 属 于 最 后 一 公里 接 入 设备 。 

然后 ，DSLAM 通 过 高 速 ARM 网 络 或 者 以 太 网 将 用 户 的 数据 流量 转发 给 
宽带 远程 接 入 服务 器 人 BRAS) 。BRAS 是 面向 宽带 网 络 应 用 的 接 入 网 
天， 位 于 骨干 网 的 边缘 层 。 
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PPPoE 在 DSL 中 的 应 用 


PPPoE 服务 器 


nternet 
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运营 商 希 望 通过 同一 台 接 入 设备 来 连接 远程 的 多 个 主机 ， 同 时 接 入 设备 
能 够 提供 访问 控制 和 计 费 功能 。 在 众多 的 接 入 技术 中 ， 把 多 个 主机 连接 
到 接 入 设备 的 最 经 济 的 方法 就 是 以 太 网 ， 而 PPP 协 议 可 以 提供 良好 的 访 
问 控制 和 计 费 功能 ， 于 是 总 生 了 在 以 太 网 上 传输 PPP 报 文 的 技术 ， 即 
PPPoE。 

PPPoE 利 用 以 太 网 将 大 量 主机 组 成 网 络 ， 通 过 一 个 远 端 接 入 设备 连 入 因 
特 网 ， 并 运用 RPP 协 议 对 接 入 的 每 个 主机 进行 控制 ， 具 有 适用 范围 广 、 
安全 性 高 、 计 费 方便 的 特点 。 

PPPoE 技 术 解决 了 用 户 上 网 收费 等 实际 应 用 问题 ， 得 到 了 宽带 接 入 运营 
商 的 认可 并 被 广泛 应 用 。 
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PPPoE 报 文 


46-1500 B 
PPPoE 





4b 1B 2B 
Ver Type Code SessionID Length PayLoad 





e@ PPPoE 报 文 是 使 用 Ethernet 格 式 来 进行 封装 的 。 
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PPPoE 报 文 是 使 用 Ethernet 格 式 进行 封装 的 ，Ethernet 中 各 字段 解释 如 


下 : 


1. 


DMAC: 表示 目的 设备 的 MAC 地 址 ， 通 常 为 以 太 网 单 播 目的 地 址 或 
者 以 太 网 广播 地 址 (OXFFFFFFFF) 。 


SMAC : 表示 源 设备 的 以 太 网 MAC 地 址 。 


3. Type: 表示 协议 类 型 字段 ， 当 值 为 0x8863 时 表示 承载 的 是 PPPoE 发 


现 阶段 的 报 文 。 当 值 为 0x8864 时 表示 承载 的 是 PPPoE 会 话 阶段 的 报 
文 。 


PPPoE 字 段 中 的 各 个 字段 解释 如 下 : 


1. 
2. 
3. 
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VER: 表示 PPPoE 版 本 号 ， 值 为 0x01。 

Type: 表示 类 型 ， 值 为 0x01。 

Code: 表示 PPPoE 报 文 类 型 ， 不 同 取 值 标识 不 同 的 PPPoE 报 文 类 
型 。 

PPPoE 会 话 ID ， 与 以 太 网 SMAC 和 DMAC 一 起 定义 了 一 个 PPPoE 会 
话 。 

Length : 表示 PPPoE 报 文 的 Payload 长 度 ， 不 包括 以 太 网 头 部 和 
PPPoE 头 部 的 长 度 。 


PPPoE 会 话 建立 过 程 


获取 对 方 以 太 网 地 址 ， 以 及 确定 唯一 的 PPPoE 会 话 。 


包含 两 部 分 : PPP 协 商 阶段 和 PPP 报 文 传输 阶段 。 


会 话 建立 以 后 的 任意 时 刻 ， 发 送 报 文 结束 PPPoE 会 话 





SO 
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PPPoE 可 分 为 三 个 阶段 ， 即 发 现 阶段 会 话 阶段 和 会 话 终结 阶段 。 
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0 1700 





PPPoE 协 议 报 文 


描述 
PPPoE 发 现 初始 报 文 
PPPoE 发 现 提供 报 文 
PPPoE 发 现 请 求 报 文 
PPPoE 发 现 会 话 确认 报 文 


PPPoE 发 现 终止 报 文 


e PPPoE 通 过 这 五 种 类 型 的 报 文 来 建立 和 终结 PPPoE 会 话 。 
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PADI (PPPoE Active Discovery lnitiation) 报 文 : 用 户主 机 发 起 的 
PPPoE 服 务 器 探测 报 文 ， 目 的 MAC 地 址 为 广播 地 址 。 

PADO (PPPoE Active Discovery Offer) 报 文 : PPPoE 服 务 器 收 到 
PADI 报 文 之 后 的 回应 报 文 ， 目 的 MAC 地 址 为 客户 端 主机 的 MAC 地 
a 

PADR (PPPoE Active Discovery Request) 报 文 : 用 户主 机 收 到 
PPPoE 服 务 器 回应 的 PADO 报 文 后 ， 单 播发 起 的 请 求 报 文 ， 目 的 地 
址 为 此 用 户 选 定 的 那个 PPPoE 服 务 器 的 MAC 地 址 。 

PADS\ (PPPoE Active Discovery Session Configuration) 报 文 : 
RPRoE 服 务 器 分 配 一 个 唯一 的 会 话 进程 ID, 并 通过 PADS 报 文 发 送 给 
主机 。 

PADT (PPPoE Active Discovery Terminate) 报 文 : 当 用 户 或 者 服 
务 器 需要 终止 会 话 时 ,可 以 发 送 这 种 PADT 报 文 。 


PPPoE 发 现 阶段 


@ 客户 端 通过 广播 发 送 PADI 报 文 来 发 现 接 入 服务 器 。 
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在 发 现 阶段 ，PPPoE 客 户 端 在 本 地 以 太 网 中 广播 一 个 PADI 报 文 ， 此 
PADI 报 文中 包含 了 客户 端 需要 的 服务 信息 。 在 PADI 报 文中 ， 目 的 MAC 
地 址 是 一 个 广播 地 址 ，Code 字 段 为 0x09，Session ID 字段 为 0x0000 。 
所 有 PPPoE 服 务 器 收 到 PABI 报 文 之 后 ， 会 将 报 文中 所 请 求 的 服务 与 自 
己 能 够 提供 的 服务 进行 比较 # 


0 1710 


PPPoE 发 现 阶段 


e 所 有 的 PPPoE 服务 器 在 收 到 PADI 报 文 之 后 ， 将 客户 端 请 求 的 服务 与 自 
己 能 够 提供 的 服务 进行 比较 ， 如 果 可 以 提供 ， 则 单 播 回 复 RADO 报 文 。 
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如 果 服 务 器 可 以 提供 客户 端 请 求 的 服务 ”就 会 回复 一 个 PADO 报 文 。 客 
户 端 (RTA) 可 能 会 收 到 多 个 PPRoE 服 务 器 发 送 的 PADO 报 文 。 在 
PADO 报 文中 ， 目 的 地 址 是 发 送 PADI 报 文 的 客户 端 MAC 地 址 ，Code 字 
段 为 0x07，Session ID 字 上段 为 0x0000。 
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PPPoE 发 现 阶段 


e PPPoE 客 户 端 选择 最 先 收 到 的 PADO 报 文 对 应 的 PPPoE 服 务 器 ， 并 单 播 
发 送 一 个 PADR 报 文 。 
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因为 PPPoE 客 户 端 是 以 广播 的 形式 发 送 PADI 报 文 ， 所 以 客户 端 可 能 会 
收 到 多 个 PADO 报 文 。 在 接收 到 的 所 有 PADO 报 文中 ，PPPoE 客 户 端 选 
择 最 先 收 到 的 PADO 报 文 对 应 的 PPPoE 服 务 器 ， 并 发 送 一 个 PADR 报 文 
给 这 个 服务 器 。 在 PADR 报 文中 ， 目 的 地 址 是 选中 的 服务 器 的 MAC 地 址 
，Code 字 段 为 0x19，Session 1D 字 段 为 0X0000。 
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PPPoE 发 现 阶段 


@ PPPoE 服 务 器 生成 唯一 的 PPPoE Session ID， 并 发 送 PADS 报 文 给 客户 
端 ， 会 话 建立 成 功 。 
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PPPoE 服 务 器 收 到 PADR 报 文 后 ,会 生成 一 个 唯一 的 Session ID 来 标识 
和 PPPoE 客 户 端的 会 话 ， 并 通过 全 个 PADS 报 文 把 Session ID 发 送 给 
PPPoE 客 户 端 。 在 PADS 报 文中 目的 地 址 是 PPPoE 客 户 端的 MAC 地 
址 ，Code 字 段 为 0x65，Session ID 字段 是 PPPoE 服 务 器 为 本 PPPoE 会 
话 产 生 的 Session 1D 会 话 建 立成 功 后 ，PPPoE 客 户 端 和 服务 器 进入 
PPPoE 会 话 阶段 。 
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PPPoE 会 话 阶段 


RPP 参 数 协 商 


。 PPPoE 会 话 上 的 PPP 协 商 和 普通 的 PPP 协 商 方式 一 致 ， 分 为 LCP N/A 
NCP 三 个 阶段 。 


e PPPoE 会 话 的 PPP 协 商 成 功 后 ， 就 可 以 传输 PPP 数 据 。 
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PPPoE 会 话 阶段 可 分 为 两 部 分 : PPP 协 商 阶段 和 PPP 报 文 传输 阶段 。 


1. 


PPPoE Session 上 的 PPPR 协 商 和 普通 的 PPP 协 商 方式 一 致 ， 分 为 
LCP、 认 证 、NCP 三 个 阶段 。 WLCP 阶 段 主要 完成 建立 、 配 置 和 检测 
数据 链 路 连接 。LCP 协 商 成 功 后 ， 开 始 进 行 认证 ， 认 证 协议 类 型 由 
LCP 协 商 结果 决定 认证 成 功 后 ，PPP 进 入 NCP 阶 段 ，NCP 是 一 个 
协议 族 ， 用 于 配置 不 同 的 网 络 层 协议 ， 常 用 的 是 IP 控 制 协议 (IPCP 
) ， 它 负责 配置 用 户 的 IP 地 址 和 DNS 服务 器 地 址 等 。 

PPPoE Session 的 PPP 协 商 成 功 后 ， 就 可 以 承载 PPP 数 据 报 文 。 在 
人 ID 并 
呆 持 不 变 。 
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PPPoE 会 话 终结 


e PADT 报 文 用 于 通知 对 端 PPPoE 会 话 结束 。 
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当 PPPOE 客 户 端 希望 关闭 连接 时 ， 邹 以 向 PPPOE 服 务 器 端 发 送 一 个 
PADT 报 文 。 同 样 ， 如 果 PPPOE 受 务 器 端 希 望 关 闭 连 接 时 ， 也 可 以 向 
PPPOE 客 户 端 发 送 一 个 PADT 报 文 ， 此 报 文 用 于 关闭 连接 。 

在 PADT 报 文中 ， 目 的 MAC 地 址 为 单 播 地 址 ，Session ID 为 希望 关闭 的 
连接 的 Session ID。 一 这 收 到 一 个 PADT 报 文 之 后 ， 连 接 随即 关闭 。 
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PPPoE 会 话 建立 过 程 


< chalenge 
Response > 
< Success/Failure 
e NCP Negotiation > 
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1. ”用 户 客 户 端 向 服务 器 发 送 一 个 PADI 报 文 ， 开 始 PPPOE 接 入 。 

2. ”服务 器 向 客户 端 发 送 PADO 报 六 。 

3. ”客户 端 根 据 回 应 ， 发 起 PADR 请 求 给 服务 器 。 

4. ”服务 器 产生 一 个 Session ID， 通 过 PADS 发 给 客户 端 。 

5. 客户 端 和 服务 器 之 间 进 行 PPP 的 LCP 协 商 ， 建 立 链 路 层 通信 。 同 
时 ， 协 商 使 用 CHAP 认 证 方式 。 

6. ”服务 器 通过 Challenge 报 文 发 送 给 认证 客户 端 ， 提 供 一 个 128bit 的 
Challenge 。 

7. < 客户 端 收 到 Challenge 报 文 后 ， 并 将 密码 和 Challenge 做 MD5 算 法 
运算 后 ， 在 Response 回 应 报 文中 把 结果 发 送 给 服务 器 。 

8.> 服务 器 根据 用 户 发 送 的 信息 判断 用 户 是 否 合 法 ， 然 后 回应 认证 成 
功 /失败 报 文 ， 将 认证 结果 返回 给 客户 端 。 

9. ee (如 IPCP) 协商 ， 通 过 服务 器 获取 到 规划 的 IP 地 址 等 参 
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PPPoE 配 置 


PPPoE 客 户 端 PPPoE 服 务 器 


ialer-rule 

er-rulel]ldialer-rule 1 ip permit 
er-rule]quit 

rface dialer 1 

erlldialer user enterprise 
erlldialer-group 1] 

erlldialer bundle 1 

erll]ppp chap user enterprise@huawei 


erllppp chap password cipher huawei 








erl]ip gotiate 
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PPPoE 客 户 端 配置 包 括 三 个 步骤 。 

首先 需要 配置 一 个 拨号 接口 。 

dialer-rule 命 令 用 于 进入 Dialer-rule 视 图 ， 在 该 视图 下 ， 可 以 通过 拨号 
规则 来 配置 发 起 PPPoE 会 话 的 条 件 。 

interface dialer number 命 令 用 来 创建 并 进入 Dialer 接 口 。 

dialer user user-name 命 令 用 于 配置 对 端 用 户 名 ， 这 个 用 户 名 必须 与 对 
端 服务 器 上 的 PPP 用 户 名 相同 。 

dialer-group group-number 命 令 用 来 将 接口 置 于 一 个 拨号 访问 组 。 
dialerMbundle numpber 命 令 用 来 指定 Dialer 接 口 使 用 的 Dialer bundle。 设 
备 通过 Dialer bundle 将 物理 接口 与 拨号 接口 关联 起 来 。 
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PPPoE 配 置 


GO/O/1 


PPPoE 客 户 端 PPPoE 服 务 器 


[RTA] interface GigabitEthernet 0/0/1 
[RTA-GigabitEthernet0/0/1]pppoe-client 
[RTA-GigabitEthernet0/0/1]quit 


[RTA]ip route-static 0.0.0.0 0 dialer 1 
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第 二 个 步骤 是 在 接口 上 将 Dialer Bundle 和 接口 绑 定 : 

pppoe-client dial-bundle-number nmumber 命 令 来 实现 Dialer Bundle 和 
物理 接口 的 绑 定 ， 用 来 指定 RPPoE 会 话 对 应 的 Dialer Bundle ， 其 中 
number 是 与 PPPoE 会 活 柜 半 后 和 Dialer Bundle 编 号 。on-demand 表 示 
PPPoE 会 话 工 作 在 按 需 拨号 模式 。AR2200 支 持 报 文 触发 方式 的 按 需 找 
号 。 目 前 ARG3 系 列 路 由 器 支持 的 按 需 拨 号 方式 为 报 文 触发 方式 ， 即 当 
物理 线路 Up 后 ， 设 备 不 会 立即 发 起 PPPoE 呼 叫 ， 只 有 当 有 数据 需要 传 
送 时 ， 设 备 本 会 发 起 PPPoE 呼 叫 ， 建 立 PPPoE 会 话 。 


第 三 个 步骤 是 配置 一 静态 路 由 ， 该 路 由 允许 在 路 由 表 中 没有 相应 
匹配 表 项 的 流量 都 能 通过 拨号 接口 发 起 PPPoE 会 话 。 
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配置 验证 


<RTA>display interface Dialer 1 
Dialerl current State: UP 
(spoofing) 
ies, Dialerl Interface 
The Maximum Transmit Unit is 500, Hold timer is 10(sec) 


s negotiated, 192.168.10.254/32 


Bound to Dialerl:0: 


Dialerl:0 current state : 
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display interface dialer[ number] 命 令 用 于 查看 拨号 接口 的 配置 ， 便 于 
定位 拨号 接口 的 故障 。 
LCP opened, IPCP opened 表 示 链 路 的 状态 完全 正常 。 
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配置 验证 
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display pppoe-client session summary 命 令 用 于 查看 PPPoE 客 户 端 
的 PPPoE 会 话 状态 和 统计 信息 。 


本 节 给 出 了 两 个 例子 来 说 明 不 同 的 PPPoE 会 话 状态 。 
人 话 ID ，Bundle ID 和 Dialer ID 的 值 与 拨号 参数 配置 有 关 


Intf 表 示 客户 端 何 话 调 府 的 物理 接 口 。 

State 表 示 PPRoE 会 话 的 状态 ， 包 括 以 下 四 种 : 

1. DLE 表 示 当 前 会 话 状 态 为 空闲 。 

2.《PADI 表 示 PPPoE 会 话 处 于 发 现 阶 段 ， 并 已 经 发 送 PADI 报 文 。 
3、、PADR 表 示 PPPoE 会 话 处 于 发 现 阶段 ， 并 已 经 发 送 PADR 报 文 。 
4 UP 表示 PPPoE 会 话 建 立成 功 。 


0 1810 


e PPPoE 帧 为 什么 要 降低 MTU 大 小 ? 
e 在 配置 PPPoE 时 ，dialer bundle 命 令 的 作用 是 什么 ? 
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1. 以 太 网 中 默认 最 大 支持 1500 字 节 的 有 效 载 荷 。PPPoE 头 部 长 度 为 6 
字 节 ，PPP 协 议 ID 长 度 为 2 字 节 六 所 以 PPPoE 帧 中 的 MTU 不 能 超过 
1492 字 节 。 

2. dialer bundle 命 令 用 来 指定 Dialer 接 口 使 用 的 Dialer bundle。 设 备 通 
过 Dialer bundle 将 物理 接口 与 拨号 接口 关联 起 来 。 
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谢谢 


Www.huawel.com 
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网 络 地 址 转换 





0 1840 


们 前 言 


随 着 Internet 的 发 展 和 网 络 应 用 的 增多 ，IPv4 地 址 枯竭 已 经 成 为 制约 网 络 发 
展 的 瓶颈 。 尽 管 IPv6 可 以 从 根本 上 解决 IPv4 地 址 空间 不 足 的 问题 ,但 目前 众 
多 的 网 络 设备 和 网 络 应 用 仍 是 基于 IPv4 的 ， 因 此 在 IPv6 广 泛 应 用 之 前 , 一些 
过 渡 技 术 的 使 用 是 解决 这 个 问题 的 主要 技术 手段 。 

网 络 地 址 转换 技术 NAT (Network Address Translation) 主要 用 于 实现 位 于 
内 部 网 络 的 主机 访问 外 部 网 络 的 功能 。 当 局 域 网 内 的 主机 需要 访问 外 部 网 
络 时 ， 通 过 NAT 技 术 可 以 将 其 私 网 地 址 转换 为 公 网 地 址 ， 并 且 多 个 私 网 用 
户 可 以 共用 一 个 公 网 地 址 ， 这 样 既 可 保证 网 络 互 通 ， 又 节省 了 公 网 地 址 。 
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(@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 NAT 的 工作 原理 
。 掌握 NAT 的 基本 配置 
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NAT 应 用 场景 


192.168.1.1/24 


主机 B = 
| 
| 
| 
| 


192.168.1.2/24 


e 企业 或 家 庭 所 使 用 的 网 络 为 私有 网 络 ， 使 用 的 是 私有 地 址 ; 运营 商 维护 
的 网 络 为 公共 网 络 ， 使 用 的 是 公有 地 址 。 私 有 地 址 不 能 在 公 网 中 路 由 。 


e NAT 一 般 部 署 在 连接 内 网 和 外 网 的 网 关 设备 上 。 
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随 着 网 络 设备 的 数量 不 断 增 长 ， 对 IPV4 地 址 的 需求 也 不 断 增加 ， 导 致 可 
用 IPv4 地 址 空间 逐渐 耗 尽 。 解 决 IPV4 地 址 枯竭 问题 的 权宜 之 计 是 分 配 可 
重复 使 用 的 各 类 私 网 地 址 段 给 企业 内 部 或 家 庭 使 用 。 但 是 ， 私 有 地 址 不 
能 在 公 网 中 路 由 ， 即 私 网 主机 不 能 与 公 网 通信 ， 也 不 能 通过 公 网 与 另外 
一 个 私 网 通信 。 

NAT 是 将 IP 数 据 报 报 头 中 的 IP 地 址 转换 为 另 一 个 IP 地 址 的 过 程 ， 主 要 用 
于 实现 内 部 网 络 (私有 IP 地 址 ) 访问 外 部 网 络 (公有 IP 地 址 ) 的 功能 。 
NAT 一 般 部 署 在 连接 内 网 和 外 网 的 网 关 设备 上 。 当 收 到 的 报 文 源 地 址 为 
私 网 地 址 、\ 目 的 地 址 为 公 网 地 址 时 ，NAT 可 以 将 源 私 网 地 址 转换 成 一 个 
公 网 地 址 > ,这样 公 网 目的 地 就 能 够 收 到 报 文 ， 并 做 出 响应 。 此 外 ， 网 关 
上 还 会 创建 一 个 NAT 映 射 表 ， 以 便 判 断 从 公 网 收 到 的 报 文 应 该 发 往 的 私 
网 目的 地 址 。 
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静态 NAT 








S:192.168.1.1 D:100.1.1.1 S:200.10.10.1 D:100.1.1.1 
一 一 一 
| D:192.168.1.1 | S:100.1.1.1 | D:200.10.10.1 S:100.1.1.1 











192.168.1.1/24 


主机 B 


100.1.1.1/24 


S:192.168.1.2 | D:100.1.1.1 | S:200.10.10.2 | D:100.1.1.1 
> 

D:192.168.1.2 | S:100.1.1.1 [5:200.10.102| S:100.1.1.1 | 
二 一 








192.168.1.2/24 








e 静态 NAT 实 现 了 私有 地 址 和 公有 地 址 的 一 对 一 映射 。 
e 一 个 公 网 IP 只 会 分 配给 唯一 且 固 定 的 内 网 主机 。 
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NAT 的 实现 方式 有 多 种 ， 适 用 于 不 同 的 场景 。 

静态 NAT 实 现 了 私有 地 址 和 公有 地 址 的 一 对 一 映射 。 如 果 希 望 一 台 主 机 
优先 使 用 某 个 关联 地 址 ， 或 者 想 要 外 部 网 络 使 用 一 个 指定 的 公 网 地 址 访 
问 内 部 服务 器 时 ， 可 以 使 用 静态 NAT 。 但 是 在 大 型 网 络 中 ， 这 种 一 对 一 
的 IP 地 址 映射 无 法 缓解 公用 地 址 短缺 的 问题 。 

在 本 示例 中 ， 源 地 址 汶 192.168.1.1 的 报 文 需要 发 往 公 网 地 址 100.1.1.1。 
在 网 关 RTA 上 配置 了 一 个 私 网 地 址 192.168.1.1 到 公 网 地 址 200.10.10.1 
的 映射 。 雪 网 关 收 到 主机 人 A 发送 的 数据 包 后 ， 会 先 将 报 文中 的 源 地 址 
192.168.1. 转 换 为 200.10.10.1， 然 后 转发 报 文 到 目的 设备 。 目 的 设备 
回复 的 报 文 目的 地 址 是 200.10.10.1。 当 网 关 收 到 回复 报 文 后 ， 也 会 执行 
静态 地 址 转换 ， 将 200.10.10.1 转 换 成 192.168.1.1， 然 后 转发 报 文 到 主 
机 A。 和 主机 A 在 同一 个 网 络 中 其 他 主机 ， 如 主机 B， 访问 公 网 的 过 程 也 
需要 网 关 RTA 做 静态 NAT 转 换 。 
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动态 NAT 








S:192.168.1.1 D:100.1.1.1 S:200.10.10.1 D:100.1.1.1 
S:192.168.1.2 D:100.1.1.1 S:200.10.10.2 | D:100.1.1.1 





200.10.10.0/24 100.1.1.1/24 


200.10.10.1 
200.10.10.2 


192.168.1.2/24 


® 动态 NAT 基 于 地 址 池 来 实现 私有 地 址 和 公有 地 址 的 转换 。 
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动态 NAT 通 过 使 用 地 址 池 来 实现 。 

本 示例 中 ， 当 内 部 主机 A 和 主机 B 需 要 与 公 网 中 的 目的 主机 通信 时 ， 网 关 
RTA 会 从 配置 的 公 网 地 址 池 中 选择 一 个 未 使 用 的 公 网 地 址 与 之 做 映射 。 
每 人 台 主 机 都 会 分 配 到 地 址 池 中 的 一 个 唯一 地 址 。 当 不 需要 此 连接 时 ， 对 
应 的 地 址 映射 将 会 被 删除 , 公 网 地 址 也 会 被 恢复 到 地 址 池 中 待 用 。 当 网 
关 收 到 回复 报 文 后 个 会 根据 之 前 的 映射 再 次 进行 转换 之 后 转发 给 对 应 主 
机 。 

动态 NAT 地 址 池 中 的 地 址 用 尽 以 后 ， 只 能 等 待 被 占用 的 公用 IP 被 释放 后 
， 其 他 主机 才能 使 用 它 来 访问 公 网 。 
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S:200.10.10.1:2843 | D:100.1.1.1:80 





S:200.10.10.1:2844 | D:100.1.1.1:80 | 
主机 C 








192.168.1.1/24 


主机 B 


100.1.1.1/24 
200.10.10.0/24 


200.10.10.1: 2843 
200.10.10.1: 2844 


192.168.1.2/24 


e 网 络 地 址 端口 转换 NAPT 人 允许 多 个 内 部 地 址 映射 到 同一 个 公有 有 地址 的 不 
同 端口 。 
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络 地 址 端口 转换 NAPT (Network Addrsss Port Translation) 人 允许 多 
个 内 部 地 址 映射 到 同一 个 公有 地 址 的 不 同 端口 。 
本 例 中 ，RTA 收 到 一 个 私 网 主机 发 送 的 报 文 ， 源 IP 地 址 是 192.168.1.1 ， 
源 端 口号 是 1025， 目 的 上 R 地 址 是 100.1.1.1， 目 的 端口 是 80。RTA 会 从 
配置 的 公 网 地 址 池 申 选择 一 个 空闲 的 公 网 IP 地 址 和 端口 号 ， 并 建立 相应 
的 NAPT 表 项 。 这 些 NAPT 表 项 指定 了 报 文 的 私 网 IP 地 址 和 端口 号 与 公 网 
IP 地 址 和 端 晶 号 的 映射 关系 。 之 后 ，RTA 将 报 文 的 源 IP 地 址 和 端口 号 转 
换 成 公 网 地 址 2090.10.10.1 和 端口 号 2843 ， 并 转发 报 文 到 公 网 。 当 网 关 
RTA 收 到 回复 报 文 后 ， 会 根据 之 前 的 映射 表 再 次 进行 转换 之 后 转发 给 主 
机 A。 主机 B 同 理 。 
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S:192.168.1.1:1025 | D:100.1.1.1:80 S:200.10.10.10:2843 | D:100.1.1.1:80 
S:192.168.1.2:1028 | D:100.1.1.1:80 | S:200.10.10.10:2844 | D:100.1.1.1:80 


主机 C 














192.168.1.1/24 


主机 B 


100.1.1.1/24 


192.168.1.2/24 


e Easy IP 人 允许 将 多 个 内 部 地 址 映射 到 网 关 出 接口 地 址 上 的 不 同 端口 。 
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Easy IP 适 用 于 小 规模 局 域 网 中 的 主机 访问 Internet 的 场景 。 小 规模 局 域 
网 通常 部 署 在 小 型 的 网 吧 或 者 办 公 室 中 ， 这 些 地 方 内 部 主机 不 多 ， 出 接 
口 可 以 通过 拨号 方式 获取 一 个 临时 公 网 IP 地 址 。Easy IP 可 以 实现 内 部 主 
机 使 用 这 个 临时 公 网 IP 地 址 访问 Internet。 

本 示例 说 明了 Easy .IP 的 实现 过 程 。RTA 收 到 一 个 主机 A 访问 公 网 的 请 求 
报 文 ， 报 文 的 源 IP 地 址 是 192.168.1.1， 源 端口 号 是 1025。RTA 会 建立 
Easy IP 表 项 ,^ 这 些 表 项 指定 了 源 IP 地 址 和 端口 号 与 出 接口 的 公 网 IP 地 址 
和 端口 号 的 映射 关系 。 之 后 ， 根 据 匹 配 的 Easy IP 表 项 ， 将 报 文 的 源 IP 地 
址 和 端 晶 号 转换 成 出 接口 的 IP 地 址 和 端口 号 ， 并 转发 报 文 到 公 网 。 报 文 
的 源 IP 地 址 转换 成 200.10.10.10/24， 相 应 的 端口 号 是 2843。 

路 由 器 收 到 回复 报 文 后 ， 会 根据 报 文 的 目的 IP 地 址 和 端口 号 ， 查 询 Easy 
IP 表 项 。 路 由 器 根据 匹配 的 Easy IP 表 项 ， 将 报 文 的 目的 IP 地 址 和 端口 号 
转换 成 私 网 主机 的 IP 地 址 和 端口 号 ， 并 转发 报 文 到 主机 。 
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NAT 服 务 器 





D:192.168.1.100:80 S:100.1.1.1:2844 D:200.10.10.1:80 | S:100.1.1.1:2844 


一 一 一 








S:192.168.1.100:80 D:100.1.1.1:2844 | | S:200.10.10.1:80 | D:100.1.1.1:2844 





服务 器 主机 C 
192.168.1.100/24 


100.1.1.1/24 


e 通过 配置 NAT 服 务 器 ,可 以 使 外 网 用 户 访问 内 网 服务 器 4 
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NAT 在 使 内 网 用 户 访问 公 网 的 同时 ， 也 屏 菩 了 公 网 用 户 访问 私 网 主机 的 
需求 。 当 一 个 私 网 需要 向 公 网 用 户 提供 Web 和 和 FTP 服务 时 ， 私 网 中 的 服 
务 器 必须 随时 可 供 公 网 用 户 访问 。 

NAT 服 务 器 可 以 实现 这 个 需求 ， 但 是 需要 配置 服务 器 私 网 IP 地 址 和 端口 
号 转换 为 公 网 1|P 地 址 和 端 厅 号 并 发 布 出 去 。 路 由 器 在 收 到 一 个 公 网 主机 
的 请 求 报 文 后 ， 根 据 报 文 的 目的 IP 地 址 和 端口 号 查询 地 址 转换 表 项 。 路 
由 器 根据 匹配 的 地 址 转换 表 项 ， 将 报 文 的 目的 IP 地 址 和 端口 号 转换 成 私 
网 IP 地 址 和 端口 号 ， 并 转发 报 文 到 私 网 中 的 服务 器 。 

本 例 中 主机 C 需 要 访问 私 网 服务 器 ， 发 送 报 文 的 目的 IP 地 址 是 
20010.10:， 目 的 端口 号 是 80。RTA 收 到 此 报 文 后 会 查找 地 址 转换 表 项 
， 并 将 目的 IP 地 址 转换 成 192.168.1.1， 目 的 端口 号 保持 不 变 。 服 务 器 收 
到 报 文 后 会 进行 响应 ，RTA 收 到 私 网 服务 器 发 来 的 响应 报 文 后 ， 根 据 报 
文 的 源 IP 地 址 192.168.1.1 和 端口 号 80 查 询 地 址 转换 表 项 。 然 后 ， 路 由 器 
根据 匹配 的 地 址 转换 表 项 ， 将 报 文 的 源 IP 地 址 和 端口 号 转换 成 公 网 IP 地 
址 200.10.10.1 和 端口 号 80， 并 转发 报 文 到 目的 公 网 主机 。 
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静态 NAT 配 置 








192.168.1.1/24 


主机 B 
司 100.1.1.1/24 
192.168.1.2/24 
[RTA] interface GigabitEthernet0/0/1 
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24 
[RTA-GigabitEthernet0/0/1]interface Seriall/0/0 


RTA-Seriall/0/0]ip address 200.10.10.2 24 


[ 
[RTA~-Seriall/0/0]nat static global 202.10.10.1 inside 192.16@.1.1 
[ 


RTA-Seriall/0/0]nat static global 202.10.10.2 inside{19W 折 68.1.2 
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nat static global { g/obal-address} inside {host-address } 命令 用 于 创 
建 静态 NAT。 


1. global 参 数 用 于 配置 外 部 公 网 地 址 。 
2. inside 参 数 用 于 配置 内 部 私有 地 址 。 
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配置 验证 


[RTA]display nat static 
ic Nat Information: 


ce : Seriall/ 


Global IP/Port 
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命令 display nat static 用 于 查看 静态 NAT 的 配置 。 
Global IP/Port 表 示 公 网 地 址 和 服务 端口 号 。 
Inside IP/Port 表 示 私 有 地 址 和 服务 端口 号 。 


0 1940 


动态 NAT 配 置 


192.168.1.1 200.10.10.1 
192.168.1.2 200.10.10.2 





RTA]interface seriall/0/0 


RTA-Seriall/0/0]nat outbound 2000 address-group 1 no 
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nat outbound 命 令 用 来 将 一 个 访问 控制 列表 ACL 和 一 个 地 址 池 关 联 起 来 ， 
表示 ACL 中 规定 的 地 址 可 以 使 用 地 址 池 进 行 地 址 转换 。ACL 用 于 指定 一 
个 规则 ， 用 来 过 滤 特 定 流量 。 后 续 将 会 介绍 有 关 ACL 的 详细 信息 。 

nat address-group 命 令 用 来 配置 NAT 地 址 池 。 


本 示例 中 使 用 nat Youtbound 命令 将 ACL 2000 与 待 转换 的 
192.168.1.0/24 网 段 的 流量 关联 起 来 ， 并 使 用 地 址 池 1 (address-group 
1) 中 的 地 址 进行 地 址 转换 。no-pat 表 示 只 转换 数据 报 文 的 地 址 而 不 转 
换 端 口 信息 。 


0 1950 


配置 验证 
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display nat address-group group-index 命 令 用 来 查看 NAT 地 址 池 配 置 
信息 。 

命令 display nat outbound 用 来 查看 动态 NAT 配 置信 息 。 

可 以 用 这 两 条 命令 验证 动态 NAT 的 详细 配置 。 在 本 示例 中 ， 指 定 接口 
Serial 1/0/0 与 ACL 关 联 在 一 起 ， 并 定义 了 用 于 地 址 转换 的 地 址 池 1。 参 
数 no-pat 说 明 没有 进行 端口 地 址 转换 。 


0 1960 


Easy IP 配 置 


192.168.1.1/24 


主机 B 


192.168.1.2/24 


[RTA]acl 2000 
[RTA-~acl-basic-2000]rule 5 permit 
[RTA-~acl-basic-2000] guit 

[RTA] interface seriall/0/0 


[RTA-Seriall/0/0]nat outbound 200( 
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nat outbound ac/-number 命 令 用 来 配置 Easy-IP 地 址 转换 。Easy IP 的 
配置 与 动态 NAT 的 配置 类 似 ， 需 要 定义 ACL 和 nat outbound 命 令 ， 主 要 
区 别 是 Easy IP 不 需要 配置 地 址 池 ， 所 以 nat outbound 命 令 中 不 需要 配 
置 参 数 address-group。 

在 本 示例 中 ， 命 令 nat 6utbound 2000 表 示 对 ACL 2000 定 义 的 地 址 段 进 
行 地 址 转换 ， 并 县 宜 接 使 用 Serial1/0/0 接 口 的 IP 地 址 作为 NAT 转 换 后 的 
地 址 。 


0 1970 


配置 验证 


isplay nat outbound 
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命令 display nat outbound 用 于 查看 命令 hat outbound 的 配置 结果 。 


Address-group/lP/Interface 表 项 表明 接口 和 ACL 已 经 关联 成 功 ，type 表 
项 表明 Easy IP 已 经 配置 成 功 。 


0 1980 


NAT 服 务 器 配置 


192.168.1.1/24 100.1.1.1/24 


e GigabitEthernet0/0/1 
RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 2 
RTA-GigabitEthernet0/0/1l]interface Seriall/0/0 


RTA-Seriall/0/0]ip address 


global 202.10.1W1 Www 
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nat server [ protocol {protocol:numbeéer | icmp | tcp | udp} global 
{ global-address | current-interface, global/-pof inside {host-address 
host-port } vpn-instance \ vpn-instance-name acl acl-number 
description description |] 命令 用 来 定义 一 个 内 部 服务 器 的 映射 表 ， 外 部 
用 户 可 以 通过 公 网 地 址 和 端口 来 访问 内 部 服务 器 。 


参数 protocol 指 定 sr 个 需要 地 址 转换 的 协议 ; 
参数 global-address 指 定 需 要 转换 的 公 网 地 址 ; 
参数 inside 指 定 内 网 服务 器 的 地 址 。 


0 1990 


配置 验证 


[RTA]display nat server 
Nat Server Information: 
Interface : Seria 


Global IP/Port 
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display nat server 命 令 用 于 查看 详细 的 NAT 服 务 器 配置 结果 。 

可 以 通过 此 命令 验证 地 址 转换 的 接口 、 全 局 和 内 部 IP 地 址 以 及 关联 的 端 
口号 。 在 本 示例 中 ， 全 局 地 址 202.10.10.1 和 关联 的 端口 号 80 (www) 
分 别 被 转换 成 内 部 服务 器 地 地 192.168.1.1 和 端口 号 8080。 


0 2000 


e 哪 种 NAT 转 换 允 许 服务 器 既 能 被 内 部 访问 又 能 被 外 部 访问 ? 
e NAPT 有 什么 功能 和 特点 ? 
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， 通过 NAT 内 部 服务 器 配置 ， 将 公 网 地 址 与 一 个 私 网 服务 器 地 址 绑 定 ， 
在 地 址 转换 后 ， 外 网 主机 便 可 以 通过 公有 地 址 访问 内 网 服务 器 。 同 
时 ， 内 部 用 户 可 以 通过 服务 器 的 私 网 地 址 访问 内 网 服务 器 。 

: NAPT 是 基于 端口 的 转换 )* 而 不 是 基于 IP 地 址 的 转换 。NAPT 人 允许 多 
个 内 部 地 址 映射 到 同一 个 公有 地 址 的 不 同 端口 。 


0 2010 


谢谢 


Www.huawel.com 





0 2020 


企业 无 线 解 决 方案 





0 2030 


全 前 言 


一 般 地 ， 企 业 网 络 与 Internet 的 连接 都 是 有 线 连接 ; 为 了 增强 企业 网 络 与 
Internet 连 接 的 可 靠 性 ， 我 们 还 可 以 通过 WWAN 增 加 企业 网 络 与 Internet 的 
无 线 连 接 。 这 样 ， 当 发 生 不 可 预见 的 故障 而 导致 企业 网 络 与 Internet 的 有 线 
连接 中 断 时 ， 无 线 连 接 就 可 以 接管 故障 ， 保 证 企业 网 络 与 Internet 的 连通 性 ， 
进而 保障 企业 网 络 业务 的 连续 性 和 可 用 性 。 
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0 2040 


(@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
e 解释 2G 和 3G 网 络 是 如 何 作为 企业 网 络 的 备份 的 
e 解释 cellular 接 口 进行 故障 切换 的 过 程 
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无 线 广域网 


e 无 线 广域网 既 能 提供 数据 传输 又 能 提供 语音 传输 。 


NA) 
多 
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无 线 广域网 WWAN (Wireless Wide Area Network) 目前 已 经 成 为 了 全 
球 通信 系统 的 核心 组 成 部 分 ， 我 们 所 熟悉 的 2G 网 络 、3G 网 络 和 4G 网 络 

(LTE) 等 等 都 是 WWAN 的 典型 代表 。 通 过 WWAN， 用 户 几 乎 可 以 在 任 
何 时 间 和 任何 地 点 利用 移动 终端 设备 进行 语音 和 数据 通信 。 


0 2060 


无 线 广域网 和 企业 网 络 


e 日 益 成 熟 的 WWAN 技 术 为 企业 网 络 通信 提供 了 一 种 新 的 选择 。 
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WWAN 的 存在 ， 使 得 旅行 途中 的 企业 员工 或 地 处 偏远 地 区 的 企业 员工 可 
以 随时 通过 移动 终端 访问 Internet, 进而 能 够 访问 与 Internet 相 连 的 企业 
网 络 。 在 此 情形 下 ， 最 需要 关注 的 是 WWAN 的 传输 速率 和 可 用 服务 。 
WWAN 的 发 展 大 致 经 历 了 从 1G，2G (如 GSM) ，2.5G (如 GPRS) ， 
2.75G (EDGE) ，3GK( 如 WCDMA ，HSPA，HSPA+) 到 4G (如 LTE 
) 的 过 程 。 随 着 技术 的 进步 ，WWAN 能 够 支持 的 传输 速率 也 在 不 断 提高 
。 例 如 ，HSPA 支 持 的 最 大 下 行 链 路 容量 可 以 达到 14 Mbit/s，HSPA+ 支 
持 的 最 大 下 行 链 路 容量 可 以 达到 168 Mbits。 目 前 ，LTE 技 术 已 经 开始 
投入 实际 应 用 ,` 它 可 以 支持 更 高 速率 的 数据 传输 业务 。 


0 2070 


企业 网 络 无 线 广域网 解决 方案 


(((#))) 


2G/3G 网 络 ) 


e@ 通过 2G/3G 网 络 实现 企业 网 络 与 Internet 的 无 线 连 接 。 
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前 面 提 到 ， 旅 行 途中 的 企业 员工 或 地 处 偏远 地 区 的 企业 员工 可 以 利用 
WWAN 随 时 通过 移动 终端 访问 liternet， 进 而 能 够 访问 与 Internet 相 连 的 
企业 网 络 。 一 般 地 ， 企 业 网 络 与 Internet 的 连接 都 是 有 线 连 接 ; 为 了 增强 
企业 网 络 与 Internet 连 接 的 可 靠 性 ， 我 们 还 可 以 通过 WWAN 增 加 企业 网 
络 与 Internet 的 无 线 连 接 。 这 样 ， 当 发 生 不 可 预见 的 故障 而 导致 企业 网 络 
与 Internet 的 有 线 连 接 中 断 时 ， 无 线 连 接 就 可 以 保证 企业 网 络 与 Internet 
的 连通 性 。 

例如 ， 本 例 中 的 BSL 连 接 中 断 时 ， 路 由 器 与 基站 之 间 的 无 线 连接 可 接管 
故障 ， 从 而 保证 企业 网 络 与 Internet 的 连通 性 ， 进 而 保障 企业 网 络 业 务 的 
连续 性 和 可 用 性 。 


0 2080 


AR2200 的 无 线 接口 卡 


@ 支持 2G/3G 的 3G-HSPA+7 接 口 卡 。. 
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华为 AR2200 路 由 器 使 用 了 3G-HSPA47 接 口 卡 来 提供 2G 和 3G 网 络 接 口 
， 该 接口 也 称 为 蜂窝 接口 (cellularNinterface) 。3G-HSPA+7 接 口 卡 有 
两 个 3G 天 线 接口 ， 用 来 发 送 和 和 接收 3G 业 务 数据 ， 其 中 一 个 接口 是 主 接 
口 ， 另 一 个 是 副 接口 ,都 支持 2G 的 GSM/GPRS/EDGE、 和 和 3G 的 
WCDMA/HSPA/HSPA+ 标 准 。 甘 状 天 线 直 接 安装 在 AR 路 由 器 上 ; 当 路 
由 器 安装 在 桌子 上 或 壁挂 时 ， 推 荐 使 用 庄 状 天 线 。 远 程 天 线 包含 一 条 3 
米 长 的 馈线 ; 当 路 由 器 安装 在 机 柜 里 或 机 架 上 时 ， 推 荐 使 用 远程 天 线 。 


0 2090 


建立 3G 网 络 连接 


1 awei system-view 
Huawei]interface cellular 0/0/0 
Huawei-cellular0/0/0]ip 
Huawei-~cellula 

uawei-cellular0/!l 

uawei-cellular0/0/0] qui 


e@ 在 cellular 接 口上 定义 3G 网 络 参 数 。 
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ARG3 系 列 路 由 器 的 3G 蜂 离 接口 传输 射频 信号 ， 并 支持 PPP 链 路 层 协 议 
和 IP 网 络 层 协议 。 

interface cellular 命 令 用 来 进入 3G cellular 接 口 视 图 。 

ip address ppp-negotiate 命 令 用 来 配置 蜂窝 接口 通过 PPP 协 商 获取 IP 
地 址 。 

profile create profile-number { dynamic | static apn } 命 令 用 来 创建 3G 
modem 的 参数 描述 模板 并 配置 接 入 点 名 称 APN (Access Point Name) 
。pro1jjenumbe/ 人 参数 用 来 指定 模板 的 标识 符 ，static 或 dynamic 选 项 用 
来 配置 静态 配置 或 动态 分 配 APN。APN 用 来 标识 WCDMA 网 络 的 业务 种 
类 有 

mode” wcdma { gsm-only | gsm-precedence | wcdma- 
only | wcdma-precedence } 命 令 用 来 配置 3G modem 连 接 WCDMA 网 
络 的 方式 。 如 果 3G 调 制 解 调 器 安装 了 通用 用 户 识 别 模块 USIM ( 
Universal Subscriber Identity Module ) ， 可 以 执行 node wcdma 命 令 
来 配置 3G 调 制 解 调 器 的 WCDMA 网 络 连接 模式 。 如 果 指 定 了 wcma- 
precedence 人 参数 ， 则 会 优先 使 用 WCDMA 模式 。 


0 2100 


设置 拨号 控制 中 心 


iialer-rule 
i-dialer-rule]dialer-r 
dialer-rule]quit 
uawei]interface cellular 0/ 


Huawei-cellular0/0/0]dialer enable-circular 
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拨号 控制 中 心 DCC (Dial Control Ceriter 允许 链 路 激活 蜂窝 连 接 。 
dialer-rule 命 令 用 来 进入 Dialer-rule 视 图 。 

dialer-rule dialer-rule-numben\{ acl { acl-number | name ac/l-name } 
|ip { deny | permit } | ipv6 fdeny | permit } } 命 令 用 来 配置 某 个 拨号 访 
问 组 对 应 的 拨号 访问 控制 列表 ， 指 定 引发 DCC 呼 叫 的 条 件 。oalerrule- 
number 代表 拨号 访问 组 (dialer access group) 的 编号 。 

dialer enable-circular 命 令 用 来 使 能 轮 询 DCC (Circular DCC) 功能 。 
ARG3 系 列 路 由 器 支持 两 种 DCC 模 式 : 轮 询 DCC (Circular DCC) 和 共 
享 DCC \Resource-Shared DCC) 方式 。 两 种 DCC 模 式 分 别 应 用 于 不 
同 的 场景 。 轮 询 DCC 适 用 于 物理 链 路 较 多 ， 连 接 情 况 复 杂 的 大 中 型 站 点 
入 共享 DCC 适 用 于 可 用 物理 链 路 较 少 ， 但 连接 需求 较 多 的 中 小 型 站 点 。 
dialer-group 命 令 用 来 将 接口 置 于 一 个 拨号 访问 组 ， 要 想 使 DCC 正 常 发 
送 报 文 ， 必 须 配置 正确 的 DCC 拨 号 控制 列表 ， 并 将 对 应 接口 〈 如 物理 接 
口 、Dialer 接 口 ) 通过 dialer-group 命 令 关联 到 拨号 控制 列表 。 

dialer number dia/-number [ autodial ] 命 令 用 来 配置 呼叫 一 个 对 端的 拨 
号 号 码 。 


0 2110 


配置 NAT 角 色 和 静态 路 由 
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如 果 内 网 用 户 使 用 私 网 IP 地 址 。 则 需要 配置 网 络 地 址 转换 NAT ( 
Network Address Translation) 和 |， 把 私 网 IP 地 址 转换 成 蜂窝 接口 的 公 网 
IP 地 址 。 因 为 只 存在 一 个 蜂窝 接口 地 址 ， 所 以 一 般 使 用 Easy IP， 人 允许 内 
网 用 户 通过 端口 地 址 转换 使 用 唯一 的 公 网 IP 地 址 。 同 时 ，ACL 能 够 定义 
可 以 转换 成 公 网 地 址 的 私 网 地 址 范围 。 

nat outbound ac/:number 命 令 用 来 配置 Easy-lP 地 址 转换 。 


本 示例 中 ， 企 业内 网 用 户 使 用 了 网 段 192.168.1.0/24， 订 阅 了 WCDMA 
服务 ， 路 由 器 通过 DCC 功 能 把 企业 网 络 连接 到 Internet， 企 业 从 运营 商 
处 获取 到 ARN 3GNET 和 拨号 串 *99#。 
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配置 验证 


r interface Cellular 0/0/0 
0 current State : UE 
current State : UP 


Description:HUAWEI, AR Series, 
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使 用 C-DCC 和 PPP 协 商 建立 3G 网 络 并 和 连接 成 功 后 ， 蜂 帘 接 口 会 被 分 配 

一 个 IP 地 址 。 

display interface a i 查看 接口 状 

态 和 协商 的 地 址 。 如 果 接 口 没有 被 分 配 IP 地 址 ， 可 能 是 因为 没有 通信 数 

据 在 链 路 上 传输 ,、 或 者 是 因为 链 路 协商 失败 ， ee 统 会 提示 
“Internet protocol\processing : disabled” (网 络 协议 进程 : 未 使 

能 ) 。ModemState 字 上 段 表明 3G 蜂 窝 接 口 是 否 连接 到 3G 调 制 解 调 器 。 


0 2130 


配置 验证 


e Cellular0/0/0 接 口上 部 署 了 Easy IP。 
@ 内 部 地 址 映射 到 了 Cellular0/0/0 接 口 的 IP 地 址 。 
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可 以 再 次 执行 display nat outbound 命 令 ， 验 证 Easy IP 的 配置 ， 查 看 
蜂窝 备份 链 路 建立 情况 。 从 命令 回 显 信息 可 以 看 到 ， 峰 离 接口 使 用 Easy 
IP 功 能 进行 地 址 转换 。 

本 示例 中 ， 使 用 了 ACL 3002。 网 段 192.168.1.0/24 上 的 IP 地 址 都 可 以 转 
换 成 蜂窝 接口 的 公 网 上 P 怨 址 203.161.70.97。 


0 2140 


e@ 主 网 络 连接 发 生 故障 时 ，Cellular 网 络 是 如 何 实现 故障 切换 的 ? 
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1. 如 果 主 网 络 连接 发 生 故 障 ， 默 认 静 态 路 由 会 通过 蜂 离 接口 提供 一 条 
选 的 无 线路 由 。DCC 拨 号 控制 中 心 会 通过 PPP 协 商 发 起 蜂 离 连接 。 


0 2150 


谢谢 


Www.huawel.com 





0 2160 


Module-3 


增强 企业 网 络 的 安全 性 


访问 控制 列表 





0 2190 


一 人 一 


用 


企业 网 络 中 的 设备 进行 通信 时 ， 需 要 保障 数据 传输 的 安全 可 靠 和 网 络 的 性 


能 稳定 。 


访问 控制 列表 ACL (Access Control List) 可 以 定义 一 系列 不 同 的 规则 ， 
设备 根据 这 些 规则 对 数据 包 进 行 分 类 ， 并 针对 不 同类 型 的 报 文 进行 不 同 的 
处 理 ， 从 而 可 以 实现 对 网 络 访问 行为 的 控制 、 限 制 网 络 流量 、 提 高 网 络 性 


能 、 防 止 网 络 攻击 等 等 。 
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后 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 

e 掌握 ACL 在 企业 网 络 中 的 应 用 
e 掌握 ACL 的 工作 原理 

e 掌握 ACL 的 配置 
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ACL 应 用 场景 





Internet 


RTA GO/0/0 


GO/0/1 
.1 192.168.2.0/24 .2 


a 人 


主机 C 


e ACL 可 以 通过 定义 规则 来 允许 或 拒绝 流量 的 通过 。 
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ACL 是 由 一 系列 规则 组 成 的 集合 。。 设 备 可 以 通过 这 些 规 则 对 数据 包 进 行 
分 类 ， 并 对 不 同类 型 的 报 文 进行 不 同 的 处 理 。 

本 示例 中 ， 网 关 RTA 人 允许 192.168.1.0/24 中 的 主机 可 以 访问 外 网 ， 也 就 
是 Internet; 而 192.168.2.0724 中 的 主机 则 被 禁止 访问 Internet。 对 于 服务 
器 A 而 言 ， 情 况 则 相反 站 网 飞人 允许 192.168.2.0/24 中 的 主机 访问 服务 器 A 
， 但 却 禁 止 192.168 水 .0/24 中 的 主机 访问 服务 器 A。 


0 2220 


ACL 应 用 场景 








Internet 


.1 192.168.2.0/24 .2 


主机 C 


e ACL 可 以 根据 需求 来 定义 过 滤 的 条 件 以 及 匹配 条 件 后 所 搞 行 的 动作 。 
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设备 可 以 依据 ACL 中 定义 的 条 件 《例如 源 IP 地 址 ) 来 匹配 入 方向 的 数据 
， 并 对 匹配 了 条 件 的 数据 执行 相应 的 动作 。 在 本 示例 所 述 场景 中 ，RTA 
依据 所 定义 的 ACL 而 匹配 到 的 感 兴趣 流量 来 自 192.168.2.0/24 网 络 ， 
RTA 会 对 这 些 感 兴趣 流量 进行 加 密 (虚拟 局 域 网 VPN 中 会 进行 介绍 ) 之 
后 再 转发 。 


0 2230 





基本 ACL 2000-2999 源 IP 地 址 等 
高 级 ACL 3000-3999 源 IP 地 址 、 目 的 IP 地 址 、 源 端口 、 目 的 端口 等 
二 层 ACL 4000-4999 ” 源 MAC 地 址 、 目 的 MAC 地 址 、 以 太 帧 协议 类 型 等 
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根据 不 同 的 划分 规则 ，ACL 可 以 有 不 同 的 分 类 。 最 常见 的 三 种 分 类 
本 ACL、 高 级 ACL 和 二 层 ACL。 


1. 


0 2240 


基本 ACL 可 以 使 用 报 文 的 源 IP 邮 址 、 分 片 标记 和 时 间 段 信息 来 匹配 
报 文 ， 其 编号 取 值 范围 是 2000-2999。 


高 级 ACL 可 以 使 用 报 文 的 源 /目的 P 地 址 、 源 /目的 端口 号 以 及 协议 类 
型 等 信息 来 匹配 报 文 。 高 级 ACL 可 以 定义 比 基 本 ACL 更 准确 、 更 丰 
富 、 、 更 灵活 的 规则 其 编号 取 值 范围 是 3000-3999 。 


二 层 ACL 可 以 使 用 源 / 目 的 MAC 地 址 以 及 二 层 协 议 类 型 等 二 层 信 息 来 
匹配 报 交 ， 其 编号 取 值 范围 是 4000-4999。 


ACL 规 则 











”172.16.0.0/24 


= 


”172.17.0.024 J 7 
jd 


e 每 个 ACL 可 以 包含 多 个 规则 ，RTA 根 据 规则 来 对 数据 流量 进行 过 滤 。 
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一 个 ACL 可 以 由 多 条 “deny | permit” 语句 组 成 ， 每 一 条 语句 描述 了 一 
条 规则 。 设 备 收 到 数据 流量 后 ， 会 逐条 匹配 ACL 规 则 ， 看 其 是 否 匹 配 。 
如 果 不 匹 配 ， 则 匹配 下 一 条 。 雹 有 旦 找到 一 条 匹配 的 规则 ， 则 执行 规则 中 
定义 的 动作 ， 并 不 再 继续 与 后 续 规则 进行 匹配 。 如 果 找 不 到 匹配 的 规则 

， 则 设备 不 对 报 文 进行 任何 处 理 。 需 要 注意 的 是 ，ACL 中 定义 的 这 些 规 

则 可 能 存在 重复 或 承 盾 的 地 方 。 规 则 的 匹配 顺序 决定 了 规则 的 优先 级 ， 

ACL 通 过 设置 规则 的 优先 级 来 处 理 规则 之 间 重 复 或 矛盾 的 情形 。 

ARG3 系 列 路 由 器 支持 两 种 匹配 顺序 : 配置 顺序 和 自动 排序 。 

1， 配 置 顺 序 按 ACL 规 则 编号 (rule-id) 从 小 到 大 的 顺序 进行 匹配 。 设 备 
会 在 创建 ACL 的 过 程 中 自动 为 每 一 条 规则 分 配 一 个 编号 ， 规 则 编号 
决定 了 规则 被 匹配 的 顺序 。 例 如 ， 如 果 将 步 长 设 定 为 5， 则 规则 编号 
将 按照 5、10、15... 这 样 的 规律 自动 分 配 。 如 果 步 长 设 定 为 2， 则 规 
则 编号 将 按照 >> 4、6、8... 这 样 的 规律 自动 分 配 。 通 过 设置 步 长 ， 
使 规则 之 间 留 有 一 定 的 空间 ， 用 户 可 以 在 已 存在 的 两 个 规则 之 间 插 
入 新 的 规则 。 路 由 器 匹配 规则 时 默认 采用 配置 顺序 。 另 外 ，ARG3 系 
列 路 由 器 默认 规则 编号 的 步 长 是 5。 

人 

了 6 

本 示例 中 ，RTA 收 到 了 来 自 两 个 网 络 的 报 文 。 默 认 情 况 下 ，RTA 会 依据 

ACL 的 配置 顺序 来 匹配 这 些 报 文 。 网 络 172.16.0.0/24 发 送 的 数据 流量 将 

被 RTA 上 配置 的 ACL2000 的 规则 15 匹 配 ， 因 此 会 被 拒绝 。 而 来 自 网 络 

172.17.0.0/24 的 报 文 不 能 匹配 访问 控制 列表 中 的 任何 规则 ， 因 此 RTA 对 

报 文 不 做 任何 处 理 ， 而 是 正常 转发 。 


0 2250 


基本 ACL 配 置 


a RTA 
192.168.1.1/24 人 > 
> saS 5 GO/0/0 
ee 二 > 恨 Internet 


192.168.2.1/24 


basic-2000]rule deny sourc 
ace GigabitEthernet 0/0/0 


RTA-~GigabitEthernet 0/0/0]traffic-filter outbound acl 
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acl[ number ] 命令 用 来 创建 一 个 ACLs 并 进入 ACL 视 图 。 

rule [ ru/le-id ] { deny | permit } source { source-address source- 
Wildcard | any } 命令 用 来 增加 或 修改 ACL 的 规则 。deny 用 来 指定 拒绝 符 
合 条 件 的 数据 包 ，permit 用 来 指定 允许 符合 条 件 的 数据 包 ，source 用 来 
肯定 ACL 规 则 匹配 报 文 的 源 地 址 信息 ，any 表 示 任 意 源 地 址 。 
traffic-filter { inbound | outbound }acl{ ac/-numpber } 命 令 用 来 在 接口 
上 配置 基于 ACE 对 报 文 进行 过 滤 。 

本 示例 中 个 主机 A 发 送 的 流量 到 达 RTA 后 ， 会 匹配 ACL2000 中 创建 的 规 
则 rule deny‘source 192.168.1.0 0.0.0.255 

， 因 而 将 被 拒绝 继续 转发 到 Internet。 主 机 B 发 送 的 流量 不 匹配 任何 规则 
入 所 以 会 被 RTA 正 常 转 发 到 Internet。 


0 2260 


配置 确认 
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执行 display acl <ac/-number> 命 令 可 以 验证 配置 的 基本 ACL。 

本 例 中 ， 所 配置 的 ACL 只 有 一 条 规则 ， 即 拒绝 源 IP 地 址 在 
192.168.1.0/24 范 围 的 所 有 IP 报 文 3 

执行 display traffic-filter\applied-record 命 令 可 以 查看 设备 上 所 有 基于 
ACL 进 行 报 文 过 滤 的 应 用 信息 ， 这 些 信息 可 以 帮助 用 户 了 解 报 文 过滤 的 
配置 情况 并 核对 其 是 否 正 确 ， 同 时 也 有 助 于 进行 相关 的 故障 诊断 与 排查 


oo 


0 2270 


高 级 ACL 配 置 


FTP 服务 器 


“3 


192.168.2.1/24 172.16.10.2/24 


192.168.1.1/24 
主机 B 





0 destination-port eq 21 


adv-3000]rule permit ip 





RTA-GigabitEthernet 0/0/0]traffic-filter outbounad aaal R00 
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基本 ACL 可 以 依据 源 IP 地 址 进行 报 文 过 滤 ， 而 高 级 ACL 能 够 依据 源 /目的 
IP 地 址 、 源 /目的 端口 号 、 网 络 层 及 传输 层 协 议 以 及 IP 流 量 分 类 和 TCP 标 
记 值 等 各 种 参数 (SYNIACKIFIN 等 ) 进行 报 文 过 滤 。 
本 示例 中 ，RTA 上 定义 了 高 级 ACL3000， 其 中 第 一 条 规则 “rule deny 
tcp source 192.168. 术 0 ‘0.0.0.255 destination 172.16.10.1 0.0.0.0 
destination-port egq=242 用 于 限制 源 地 址 范围 是 192.168.1.0/24， 目 的 IP 
地 址 为 172.16:10.f， 目 的 端口 号 为 21 的 所 有 TCP 报 文 ; 第 二 条 规则 
“rule deny tcp ‘source 192.168.2.0 0.0.0.255 destination 172.16.10.2 
0.0.0.0 人 < 汕 于 限制 源 地 址 范围 是 192.168.2.0/24 ， 目 的 地 址 是 
172d46.10.2 的 所 有 TCP 报 文 ; 第 三 条 规则 “rule permit ip” 用 于 匹配 所 
有 |IR 报 文 ， 并 对 报 文 执行 允许 动作 。 


0 2280 


配置 验证 


[RTA]display acl 3000 


Advanced ACL 3000, 3 
Acl's step is 5 

rule 5 deny tcp sou 
destination-port ed 


rule 10 deny tcp 
0 


rule 15 permit ip 


traffic-filter applied-record 
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执行 display acl <ac/-number> 命 令 可 以 验证 配置 的 高 级 ACL。 

显示 信息 表明 : RTA 上 一 共 配 置 \ 了 3 条 高 级 ACL 规 则 。 第 一 条 规则 用 于 
拒绝 来 自 源 IP 地 址 192.168.1.0/24， 目 的 IP 地 址 为 172.16.10.1， 目 的 端 
口 为 21 (FTP) 的 TCP 报 交 ; 第 二 条 规则 用 于 拒绝 来 自 源 IP 地 址 


192.168.2.0/24 ， 目 的 上 R 地 址 为 172.16.10.2 的 所 有 TCP 报 文 ; 第 三 条 规 
则 人 允许 所 有 IP 报 文通 过 。 


0 2290 


ACL 应 用 -NAT 


202.110.10.8 
200.110.10.15 


192.168.1.1/24 人 S: Internet 


GO/0/0 


主机 B 


202.115.60.30 K 
192.168.2.1/24 


® 本 例 要 求 通过 ACL 来 实现 主机 A 和 主机 B 分 别 使 用 不 同 的 公 网 地 址 池 来 进 
行 NAT 转 换 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. 7 HUAWEI 





ACL 还 可 用 于 网 络 地 址 转换 操作 ,以 便 在 存在 多 个 地 址 池 的 情况 下 ， 确 
定 哪些 内 网 地 址 是 通过 哪些 特定 外 网 地 址 池 进行 地 址 转换 的 。 例 如 ， 茶 
企业 网 络 作为 客户 连接 到 多 个 服务 供应 商 网 络 ， 企 业 网 络 的 内 部 用 户 位 
于 不 同 的 网 段 / 子 网 ， 他 们 期 望 分 别 通过 某 个 特定 的 地 址 组 进行 地 址 转换 
来 实现 报 文 转发 。 这 种 情况 极 有 可 能 发 生 在 连接 不 同 服务 供应 商 网 络 的 
路 由 器 上 行 端 口 。 

本 示例 中 ， 要 求 192.168.1.0/24 中 的 主机 使 用 地 址 池 1 中 的 公 网 地 址 进行 
地 址 转换 ， 而 192.168.2.0/24 中 的 主机 使 用 地 址 池 2 中 的 公 网 地 址 进行 地 
址 转换 。 


0 2300 


ACL 应 用 -NAT 


Face GigabitEthernet0/0/ 


at outbound 20 





at outbound 20( 
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执行 nat outbound <ac/l-number>\address-group <address-group 
number> 命 令 ， 可 以 将 NAT 与 ACL 绑 定 。 


本 示例 中 ， 私 网 192.168\1.0/24 将 使 用 地 址 池 220.110.10.8- 
220.110.10.15 进行 地 址 [转换 私 网 192.168.2.0/24 将 使 用 地 址 池 
202.115.60.1-202.115860.30 进 行 地 址 转换 。 


0 2310 


e 高 级 ACL 可 以 基于 哪些 条 件 来 定义 规则 ? 
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1. 高 级 ACL 可 以 基于 源 /目的 IP 地 址 ， 源 /目的 端口 号 ， 协 议 类 型 以 及 IP 流 
量 分 类 和 TCP 标 记 值 (SYNIACKIFIN 等 ) 等 参数 来 定义 规则 。 


0 2320 


谢谢 


Www.huawel.com 





0 2330 





0 2340 


俏 前 言 


AAA 是 Authentication (认证 ) 、Authorization (授权 ) 和 Accounting ( 计 
费 ) 的 简称 ， 它 提供 了 认证 、 授 权 、 计 费 三 种 安全 功能 。AAA 可 以 通过 多 
种 协议 来 实现 ， 目 前 华为 设备 支持 基于 RADIUS (Remote Authentication 
Dial-In User Service) 协议 或 HWTACACS (Huawei Terminal Access 
Controller Access Control System) 协议 来 实现 AAA。 


Wb huawel 
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0 2360 


@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
e@ 掌握 AAA 的 基本 概念 
e@ 掌握 AAA 认证 和 授权 的 配置 
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AAA 应 用 场景 


e AAA 提供 对 用 户 进行 认证 、 授 权 和 计 费 三 种 安全 功能 。 
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AAA 是 一 种 提供 认证 、 授 权 和 计 费 的 安全 技术 。 该 技术 可 以 用 于 验证 用 
户 帐户 是 否 合法 ， 授 权 用 户 可 以 访问 的 服务 ， 并 记录 用 户 使 用 网 络 资源 
的 情况 。 

例如 ， 企 业 总 部 需要 对 服务 器 的 资源 访问 进行 控制 ， 只 有 通过 认证 的 用 
户 才能 访问 特定 的 资源 、 关 对 用 户 使 用 资源 的 情况 进行 记录 。 在 这 种 场 
景 下 ， 可 以 按照 如 图 所 示 的 方案 进行 AAA 部 署 ，NAS 为 网 络 接 入 服务 器 
, 负责 集中 收集 和 管理 用 户 的 访问 请 求 。 

AAA 服务 器 表示 远 端的 Radius 或 HWTACACS 服 务 器 ， 
授权 和 计 费 方案 。 如 果 企 业 分 支 的 员工 希望 访问 总 部 的 服务 器 ， 远 端的 
Radibs 或 HWTACACS 服 务 、 之 
后 会 进行 验证 ， 通 过 后 则 执行 相关 的 授权 策略 ， 接 下 来 ， 该 员工 就 可 以 
访问 特定 的 服务 器 了 。 如 果 还 需要 记录 员工 访问 网 络 资源 的 行为 ， 网 络 
管理 员 还 可 以 在 Radius 或 HWTACACS 服 务 器 上 配置 计 费 方案 

目前 ，ARG3 系 列 路 由 器 只 支持 配置 认证 和 授权 。 


0 2370 


用 户 名 和 密码 
一 一 一 一 


二- 一 
认证 成 功 / 失 败 





主机 A Huawei123 
主机 X Pass123 





® 认证 : 验证 用 户 是 否 可 以 获得 网 络 访问 的 权限 。 
e@ AAA 支持 的 认证 方式 有 : 不 认证 ， 本 地 认证 ， 远 端 认证 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page5 7 HUAWEI 





AAA 支持 三 种 认证 方式 : 

1， 不 认证 : 完全 信任 用 户 ， 不 对 用 户 身份 进行 合法 性 检查 。 鉴 于 安全 
考虑 ， 这 种 认证 方式 很 少 被 采用 。 

2， 本 地 认证 : 将 本 地 用 摧 入 息 (包括 用 户 名 、 密 码 和 各 种 属性 ) 配置 
在 NAS 上 。 本 地 认证 的 优点 是 处 理 速度 快 、 运 营 成 本 低 ; 缺点 是 存 
储 信息 量 受 设备 硬件 条 件 限制 。 

3， 远 端 认证 人 将 用 户 信息 (包括 用 户 名、 密码 和 各 种 属性 ) 配置 在 认 
证 服务 器 上 上 。AAA 支 持 通过 RADIUS 协 议 或 HWTACACS 协 议 进行 远 
端 认 证 。SNAS 作 为 客户 端 ， 与 RADIUS 服 务 器 或 HWTACACS 服 务 器 
进行 通信 。 

如 果 >- 个 认证 方案 采用 多 种 认证 方式 ， 这 些 认证 方式 按 配置 顺序 生效 。 

比如 ， 先 配置 了 远 端 认 证 ， 随 后 配置 了 本 地 认证 ， 那 么 在 远 端 认证 服务 

器 无 响应 时 ， 会 转 入 本 地 认证 方式 。 如 果 只 在 本 地 设备 上 配置 了 登录 账 

号 ， 没 有 在 远 端 服务 器 上 配置 ，AR2200 认 为 账号 没有 通过 远 端 认 证 ， 

不 再 进行 本 地 认证 。 


0 2380 


服务 器 A 
设备 组 : Public 


一 


主机 A 
户 组 :Staff 




















一 


AAA 服务 器 

Rs RE 服务 器 B 
| 二 加 权限 级 男 设备 组 : Private 

Private admin 09:00-12:00 K 

Public admin 09:00-18:00 

Public Staff 09:00-18:00 


e 授权 : 授权 用 户 可 以 访问 或 使 用 网 络 上 的 哪些 服务 。 
e AAA 支 持 的 授权 方式 有 : 不 授权 ， 本 地 授权 ， 远 端 授权 。 
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AAA 授权 功能 赋予 用 户 访问 的 特定 网 络 或 设备 的 权限 。AAA 支 持 以 下 授 

权 方 式 : 

1. 不 授权 : 不 对 用 户 进行 授权 处 理 。 

2.， 本 地 授权 : 根据 NAS 于 配置 的 本 地 用 户 账号 的 相关 属性 进行 授权 。 

3， 远 端 授权 : HWTACACS 授 权 ， 使 用 TACACS 服 务 器 对 用 户 授权 。 
RADIUS 授 权 汶 对 通过 RADIUS 服 务 器 认证 的 用 户 授 权 。RADIUS 协 
议 的 认证 和 授权 是 绑 定 在 一 起 的 ， 不 能 单独 使 用 RADIUS 进 行 授 权 

如 果 在 一 个 授权 方案 中 使 用 多 种 授权 方式 ， 这 些 授权 方式 按照 配置 顺序 

生效 。 环 授权 方式 最 后 生效 。 


0 2390 


上 线 时 长 
2013.5.1 
03.20.55 主机 A 01:22:15 496.2KB /21MB 


2013.4.16 四 
0 主机 X 00:30:12 123KB / 1MB 


e 计 费 : 记录 用 户 使 用 网 络 资源 的 情况 。 
e AAA 支持 的 计 费 方式 有 : 不 计 费 ， 远 端 计 费 。 
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计 费 功能 用 于 监控 授权 用 户 的 网 络 行为 和 网 络 资源 的 使 用 情况 。AAA 支 

持 以 下 两 种 计 费 方式 : 

1， 不计 费 : 为 用 户 提供 免费 上 网 服务 ， 不 产生 相关 活动 日 志 。 

2， 远 端 计 费 : 通过 RADIUS 服务 器 或 HWTACACS 服 务 器 进行 远 端 计 费 
。RADIUS 服 务 器 或 HWTACACS 服 务 器 具备 充足 的 储存 空间 ， 可 以 
储存 各 授权 用 六 的 网 络 访问 活动 日 志 ， 支 持 计 费 功能 。 


本 示例 中 展示 了 了 用户 计 费 日 志 中 记录 的 典型 信息 。 


0 2400 


‘ @partner 


4 


‘ @huawei i 
V 


BD AAA 服 务 器 


e@ AAA 可 以 通过 域 来 对 用 户 进行 管理 ， 不 同 的 域 可 以 关联 不 同 的 认证 、 授 
权 和 计 费 方案 。 
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设备 基于 域 来 对 用 户 进行 管理 ， 每 个 域 都 可 以 配置 不 同 的 认证 、 授 权 和 
计 费 方案 ， 用 于 对 该 域 下 的 用 户 进 行 认 证 、 授 权 和 计 费 。 每 个 用 户 都 属 
于 某 一 个 域 。 用 户 属于 哪个 域 是 由 用 户 名 中 的 域名 分 隔 符 @ 后 的 字符 串 
决定 。 例 如 ， 如 果 用 户 名 是 User@huawei， 则 用 户 属 于 huawei 域 。 如 果 
用 户 名 后 不 带 有 @ ， 则 用 户 属 于 系统 缺 省 域 default。 


ARG3 系 列 路 由 设备 支持 两 种 缺 省 域 : 

1，default 域 为 普通 用 户 的 缺 省 域 。 
2，default_admin 域 为 管理 用 户 的 缺 省 域 。 

用 户 可 以 修改 但 不 能 删除 这 两 个 缺 省 域 。 默 认 情况 下 ， 设 备 最 多 支持 32 
个 域 , 和 包括 两 个 缺 省 域 。 


0 2410 


RTA 
全、 
- Go1010 Ea 0 
10.1.1.1/24 RR 


RTA~aaa]jauthentication-scheme authl 


RTA] aaa 


RTA-aaa-authen-authl]authentication-modst 
RTA-aaa-authen-authl]quit 


authorization-scheme auth2 





domain huawei 
omain=-huawei]authenticati 


omain-huawei]authorization-scheme auth 





domain=-huawei]dquit 
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authentication-scheme authentication:scheme-name 命 令 用 来 配置 域 
的 认证 方案 。 缺 省 情况 下 ， 域 使 用 名 为 “default” 的 认证 方案 。 
authentication-mode { hwtacacs | radius | local } 命 令 用 来 配置 认证 
方式 ，local 指 定 认 证 模 方 式 为 本 地 认证 。 缺 省 情况 下 ， 认 证 方式 为 本 地 
认证 。 

authorization-scheme auwthorization-scheme-name 命 令 用 来 配置 域 的 
授权 方案 。 缺 省 情况 下 ， 域 下 没有 绑 定 授权 方案 。 

authorization-mode { [ hwtacacs | if-authenticated | local ] [none ] 
} 命 令 用 来 配置 当前 授权 方案 使 用 的 授权 方式 。 缺 省 情况 下 ， 授 权 模 式 为 
本 地 授权 方式 。 

domain domain-name 命 令 用 来 创建 域 ， 并 进入 AAA 域 视图 。 


0 2420 


RTA 


全 
Go1010 Ea 0 
10.1.1.1/24 尺 





cal-user huaweiehuawei password cipher huawei 
i service-type telnet 
ocal-user huaweiehuawei privilege level 0 
ser-interface vty 0 4 


i-vty0-4]authentication-mode aaa 
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local-user user-name password cipher password 命 令 用 来 创建 本 地 
用 户 ， 并 配置 本 地 用 户 的 密码 。 如 果 用 户 名 中 带 域名 分 隔 符 ， 如 @， 则 
认为 @ 前 面 的 部 分 是 用 户 名 ， 后 面部 分 是 域名 。 如 果 没 有 @， 则 整个 字 
符 串 为 用 户 名 ， 域 为 默认 域 : 

local-user User-namesprivilege level /eve/ 命 令 用 来 指定 本 地 用 户 的 优 


先 级 。 


0 2430 


配置 验证 


[RTA] display 
Domain-name 
Domain-state 
Authentication-scheme-name 


Accounting-scheme-name 


e AAA 中 ， 每 个 域 都 会 与 相应 的 认证 授权 和 计 费 方案 相关 联 % 
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display domain [ name domain-name ] 命 令 用 来 查看 域 的 配置 信息 。 

Domain-state 为 Active 表 示 激 活 状 态 。Authentication-scheme-name 表 
示 域 使 用 的 认证 方案 为 auth1 \ 缺 省 情况 下 ， 域 使 用 系统 自 带 的 default 
认证 方案 。Authorization:Scheme-name 表 示 域 使 用 的 授权 方案 为 auth2 


oo 


0 2440 


e ARG3 系 列 路 由 器 上 支持 配置 哪些 AAA 方案 ? 


e 如 果 在 ARG3 系 列 路 由 器 上 创建 用 户 时 ， 没 有 关联 自 定义 的 域 ， 则 该 用 
户 属于 哪个 域 ? 
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1，ARG3 系 列 路 由 器 上 支持 配置 认证 务 案 和 授权 方案 ， 计 费 方案 需要 配 
置 在 HWTACACS 或 RADIUS 服 务 器 上 。 


2 如果 创 建 用 户 时 未 指定 用 \, 户 所 属 的 域 ， 用 户 会 自动 关联 缺 省 域 
default。 
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谢谢 


Www.huawel.com 
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IPSec VPN 原 理 与 配置 





0 2470 


俏 前 


企业 对 网 络 安全 性 的 需求 日 益 提 升 ， 而 传统 的 TCP/IP 协 议 缺乏 有 效 的 安全 
认证 和 保密 机 制 。IPSec (Internet Protocol Security) 作为 一 种 开放 标准 


的 安全 框架 结构 ， 可 以 用 来 保证 IP 数 据 报 文 在 网 络 上 传输 的 机 密 性 、 完 整 
性 和 防 重 放 。 
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学 习 目标 


果 程 后 ， 您 应 该 能 : 
握 IPSec VPN 的 基本 概念 
握 IPSec VPN 的 基本 配置 
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IPsec VPN 应 用 场景 


Internet 


IPSec 隧道 


e 企业 分 支 可 以 通过 IPSec VPN 接 入 到 企业 总 部 网 络 。 
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IPSec 是 IETF 定 义 的 一 个 协议 组 。。 通 信 双 方 在 IP 层 通过 加 密 、 完 整 性 校 
验 、 数 据 源 认证 等 方式 ， 保 证 了 IP 数 据 报 文 在 网 络 上 传输 的 机 密 性 、 完 
整 性 和 防 重 放 。 


1. 机 密 性 (Confidentiality) 。 指 对 用 户 数据 进行 加 密 保 护 ， 用 密 文 的 形 


式 传送 数据 。 
2， 完 整 性 (Data\integrity) 指 对 接收 的 数据 进行 认证 ， 以 判定 报 文 是 
否 被 算 改 4 


3， 防 重 放 “(Anti-replay) 指 防止 恶意 用 户 通过 重复 发 送 捕获 到 的 数据 
包 所 进行 的 攻击 ， 即 接收 方 会 拒绝 旧 的 或 重复 的 数据 包 。 

企业 远程 分 支 机 构 可 以 通过 使 用 IPSec VPN 建 立 安 全 传输 通道 ， 接 入 至 

企业 总 部 网 络 。 


一 习 


0 2500 


IPSec 架构 


SA 协商 


TCP/IUDP 


AH/ESP 


加 密 的 IP 报 文 《K 


e IPSec 不 是 一 个 单独 的 协议 ， 它 通过 AH 和 ESP 这 两 个 安全 协议 来 实现 IP 
数据 报 的 安全 传送 。 
e IKE 协 议 提供 密 钥 协 商 ， 建 立 和 维护 安全 联盟 SA 等 服务 。 
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IPSec VPN 体 系 结构 主要 由 AH。 (Authentication Header) 、ESP (人 

Encapsulating Security Payload) 和 IKE (Internet Key Exchange) 协 

议 套件 组 成 。 

1. AH 协 议 : 主要 提供 的 功能 有 数据 源 验证 、 数 据 完整 性 校 验 和 防 报 文 
重 放 功 能 。 然 而 ,, AH 并 不 加 密 所 保护 的 数据 报 。 

2. ESP 协 议 : 提供 AH 协议 的 所 有 功能 外 〈 但 其 数据 完整 性 校 验 不 包括 
IP 头 ) ,还 可 提供 对 IP 报 文 的 加 密 功能 。 

3，1IKE 协 议 : 用 于 自动 协商 AH 和 ESP 所 使 用 的 密码 算法 。 


0 2510 


安全 联盟 SA 





LocalAddress Local Address 
Remote Address Remote Address 
SPl inbound SPl inbound 

SPl outbound SPIl outbound 
Key Key 

Transform (Proposal) Transform (Proposal) 














e 安全 联盟 定义 了 IPSec 对 等 体 间 将 使 用 的 数据 封装 模式 、 认 证 和 加 密 算 
法 、 密 钥 等 参数 。 
e 安全 联盟 是 单 向 的 ， 两 个 对 等 体 之 间 的 双向 通信 ， 至 纵 需 要 两 个 SA。 
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SA (Security Association) 安全 联盟 定义 了 IPSec 通 信 对 等 体 间 将 使 用 
的 数据 封装 模式 、 认 证 和 加 密 算法 兴 秘 钥 等 参数 。SA 是 单 向 的 ， 两 个 对 
等 体 之 间 的 双向 通信 ， 至 少 需要 两 个 SA。 如 果 两 个 对 等 体 希望 同时 使 用 

AH 和 ESP 安 全 协议 来 进行 通信 则 对 等 体 针对 每 一 种 安全 协议 都 需要 协 

商 一 对 SA。 

SA 由 一 个 三 元 组 来 唯一 标识 ， 这 个 三 元 组 包括 安全 参数 索引 SPI ( 

Security ParametenIndex) 、 目 的 IP 地 址 、 安 全 协议 (AH 或 ESP) 。 

建立 SA 的 方式 有 以 下 两 种 : 

1， 手 工 方式 : 安全 联盟 所 需 的 全 部 信息 都 必须 手工 配置 。 手 工 方式 建 
立 安 全 联盟 比较 复杂 ， 但 优点 是 可 以 不 依赖 IKE 而 单独 实现 IPSec 功 
能 * 当 对 等 体 设备 数量 较 少 时 ， 或 是 在 小 型 静态 环境 中 ， 手 工 配 置 
SA 是 可 行 的 。 

2. IKE 动 态 协 商 方 式 : 只 需要 通信 对 等 体 间 配 置 好 IKE 协 商人 参数 ， 由 
IKE 自 动 协商 来 创建 和 维护 SA。 动 态 协商 方式 建立 安全 联盟 相对 简 
单 些 。 对 于 中 、 大 型 的 动态 网 络 环境 中 ， 推 荐 使 用 IKE 协 商 建立 SA 


0 2520 


IPSec 传输 模式 


IP AH TCP Data 
认证 部 分 一 一 > 


IP ESP WEBINDae ESP Trailer ESPAuth 
加 密 部 分 
认证 部 分 


Ba ESP Trailer ESPAuth 
< 一 一 加 客 部 分 
二 认证 部 分 


e 在 传输 模式 下 ，AH 或 ESP 报 头 位 于 IP 报 头 和 传输 层 报 居 之 间 。 
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IPSec 协议 有 两 种 封装 模式 : 传输 模式 和 隧道 模式 。 

传输 模式 中 ， 在 IP 报 文 头 和 高 层 协议 之 间 插 入 AH 或 ESP 头 。 传 输 模式 中 
的 AH 或 ESP 主 要 对 上 层 协 议 数据 提供 保护 。 

传输 模式 中 的 AH: 在 IP 头 部 之 后 插入 AH 头 ， 对 整个 IP 数 据 包 进行 完整 
性 校 验 。 

传输 模式 中 的 ESP: 在 IP 头 部 之 后 插入 ESP 头 ， 在 数据 字段 后 插入 尾音 
以 及 认证 字段 。 对 高 层 数据 和 ESP 尾 部 进行 加 密 ， 对 IP 数 据 包 中 的 ESP 
报 文 头 , 高层 数 据 和 ESP 尾 部 进行 完整 性 校 验 。 

传输 模式 中 的 AH+ESP: 在 IP 头 部 之 后 插入 AH 和 ESP 头 ， 在 数据 字段 后 
插入 尾部 以 及 认证 字段 。 对 高 层 数据 和 ESP 尾 部 进行 加 密 ， 对 整个 IP 数 
据 包 进行 完整 性 校 验 。 


0 2530 


IPSec 隧道 模式 


| AH [Ia TCP 
认证 部 分 


GPR Da ESP Trailer ESPAuth 
加 客 部 分 ”一 一 > 
认证 部 分 ”一 -一 > 


IP WCRInDae ESPTrailer ESP Auth 
加 密 部 分 一 
Ee 认证 部 分 


。 在 隧道 模式 下 ，IPSec 会 另外 生成 一 个 新 的 IP 报 头 ， 并 封装 在 AH 或 ESP 
之 前 。 
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隧道 模式 中 ，AH 或 ESP 头 封装 在 原始 上 P 报 文 头 之 前 ， 并 另外 生成 一 个 新 
的 IP 头 封装 到 AH 或 ESP 之 前 。 隧 道 模 陈 可 以 完全 地 对 原始 IP 数 据 报 进 行 
认证 和 加 密 ， 而且， 可 以 使 用 PSec 对 等 体 的 IP 地 址 来 隐藏 客户 机 的 IP 
地 址 。 

隧道 模式 中 的 AH: 对 整个 原始 IP 报 文 提 供 完 整 性 检查 和 认证 ， 认 证 功能 
优 于 ESP。 但 AH 不 提供 加 密 功 能 ， 所 以 通常 和 ESP 联 合 使 用 。 
隧道 模式 中 的 ESP 对 整个 原始 IP 报 文 和 ESP 尾 部 进行 加 密 ， 对 ESP 报 
文 头 ， 原 始 IP 报 文 和 ESP 尾 部 进行 完整 性 校 验 。 

隧道 模式 中 的 AH+ESP: 对 整个 原始 IP 报 文 和 ESP 尾 部 进行 加 密 ， 对 除 
新 上 R 关 之 外 的 整个 IP 数 据 包 进行 完整 性 校 验 。 


0 2540 


IPSec VPN 配置 步骤 


配置 ACL 识 别 兴趣 流 


创建 安全 提议 
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配置 IPSec VPN 的 步骤 如 下 : 


1. 首先 需要 检查 报 文 发 送 方 和 接收 方 之 间 的 网 络 层 可 达 性 ， 确 保 双 方 
只 有 建立 IPSec VPN 隧 道 才 能 进行 IPSec 通 信 。 


2， 第 二 步 是 定义 数据 流入 因为 部 分 流量 无 需 满足 完整 性 和 机 密 性 要 求 
， 所 以 需要 对 流量 涝 行 过 滤 ， 选择 出 需要 进行 IPSec 处 理 的 兴趣 流 。 
可 以 通 过 配置 ACB 来 定义 和 区 分 不 同 的 数据 流 。 


3. a A IPSec 提 议定 义 了 保护 数据 流 所 用 的 
安全 协 议 \N 认 证 算法 、 加 密 算法 和 封装 模式 。 安 全 协议 包括 AH 和 
ESPs 泪 冯 可 以 单独 使 用 或 二 起 使 用 。AH 支 持 MD5 和 SHA-1 认 证 算 
法 ;ESP 支 持 两 种 认证 算法 (MD5 和 SHA-1) 和 三 种 加 密 算法 
DES、3DES 和 AES) 。 为 了 能 够 正常 传输 数据 流 ， 安 全 隧道 两 端的 
对 等 体 必须 使 用 相同 的 安全 协议 、 认 证 算法 、 加 密 算法 和 封装 模式 
。 如 果 要 在 两 个 安全 网 关 之 间 建立 IPSec 隧 道 ， 建 议 将 IPSec 封 装 模 
式 设置 为 隧道 模式 ， 以 便 隐 藏 通信 使 用 的 实际 源 IP 地 址 和 目的 IP 地 
址 。 


4. 第 四 步 是 配置 IPSec 安 全 策略 。IPSec 策 ea et 
义 的 安全 协议 、 认证 算法 、 加 密 算法 和 封装 模式 。 每 一 个 IPSec 安全 
策略 都 使 用 唯一 的 名 称 和 序号 来 标识 。|IPSec 和 仁 策 黎 可 分 成 两 类 : 
建立 SA 的 策略 和 IKE 协 商 建立 SA 的 策略 


5， 第 五 步 是 在 一 个 接口 上 应 用 IPSec 安 全 策略 。 
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IPSec VPN 配置 


RTA]ip route-static 10.1.2.( 
RTA]acl number 3001 
RTA~acl-~adv-3001l]rule 5 permit ip source 10.1.1.0 


5 destination 10.1.2.0 0.0.0.255 
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本 示例 中 的 IPSec VPN 连 接 是 通过 配置 静态 路 由 建立 的 ， 下 一 跳 指向 
RTB。 需 要 配置 两 个 方向 的 静态 路 由 确保 双向 通信 可 达 。 建 立 一 条 高 

ACL， 用 于 确定 哪些 感 兴 趣 流 需 要 通过 IPSec VPN 隧 道 。 高 级 ACL 能 够 
依据 特定 参数 过 滤 流 量 ， 继 而 对 流量 执行 丢弃 、 通 过 或 保护 操作 。 

执行 ipsec proposal 命 令 ,* 可 以 创建 IPSec 提 议 并 进入 IPSec 提 议 视 图 。 

配置 IPSec 策 略 时 必须 引用 IPSec 提 议 来 指定 IPSec 隧 道 两 端 使 用 的 安 
全 协议 、 加 密 算法 \ 认证 算法 和 封装 模式 。 缺 省 情况 下 ， 使 用 ipsec 
proposal 命 令 创 建 的 IPSec 提议 采用 ESP 协 议 、DES 加 密 算法 、MD5 认 
证 算法 和 和 隧道 封装 模式 。 在 IPSec 提 议 视图 下 执行 下 列 命令 可 以 修改 这 
些 参 数 。 

执行 transform [ah | ah-esp | esp] 命 令 ， 可 以 重新 配置 隧道 采用 的 安全 
协议 。 

执行 encapsulation-mode {transport | tunnel } 命 令 ， 可 以 配置 报 文 的 
封装 模式 。 

执行 eSp _ authentication-algorithm [md5 | sha1 | sha2-256 | sha2- 
384 | sha2-512 ] 命 令 ， 可 以 配置 ESP 协 议 使 用 的 认证 算法 。 

执行 esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes- 
256 ] 命 令 ， 可 以 配置 ESP 加 密 算法 。 

执行 ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 
| sha2-512 ] 命 令 ， 可 以 配置 AH 协议 使 用 的 认证 算法 。 


0 2560 


配置 验证 


e IPSec VPN 对 等 体 配 置 的 安全 提议 参数 必须 一 致 。 
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执行 display ipsec proposal [name<proposal-name>] 命 令 ， 可 以 查 
看 IPSec 提议 中 配置 的 参数 。 

Number of proposals 字 段 显 示 的 是 已 创建 的 IPSec 提议 的 个 数 。 

IPSec proposal name 字 段 晶 示 的 是 已 创建 IPSec 提议 的 名 称 。 
Encapsulation modg 字 段 显示 的 指定 提议 当前 使 用 的 封装 模式 ， 其 值 可 
以 为 传输 模式 或 隧道 模式 。 

Transform 字 小 显示 的 是 IPSec 所 采用 的 安全 协议 ， 其 值 可 以 是 AH、 
ESP 或 AH:ESPs 


ESP protocol 字 段 显 示 的 是 安全 协议 所 使 用 的 认证 和 加 密 算法 。 
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IPSec VPN 配置 


0]Security ac 
1-10]proposal tranl 
)]tunnel remote 20.1.1.2 
1l1-l0]tunnel local 20 

0]sa spi itbound esp 543 


a spi inbound esp 














e 安全 策略 将 要 保护 的 数据 流 和 安全 提议 进行 绑 定 。 
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ipsec policy policy-name seq-number 命 令 用 来 创建 一 条 IPSec 策 略 ， 
并 进入 IPSec 策 略 视图 。 安 全 策略 是 由 policy-name 和 seq-number 共 同 来 
确定 的 ， 多 个 具有 相同 policy-name 的 安全 策略 组 成 一 个 安全 策略 组 。 在 
一 个 安全 策略 组 中 最 多 可 以 设置 16 条 安全 策略 ， 而 se9-number 越 小 的 
安全 策略 ， 优 先 级 越 高 6 在 一 个 接口 上 应 用 了 一 个 安全 策略 组 ， 实 际 上 
是 同时 应 用 了 安全 策略 组 中 所 有 的 安全 策略 ， 这 样 能 够 对 不 同 的 数据 流 
采用 不 同 的 安全 策略 进行 保护 。 

IPSec 策略 除了 指定 策略 的 名 称 和 序号 外 ， 还 需要 指定 SA 的 建立 方式 。 
如 果 使 用 的 是 IKE 协 商 ， 需 要 执行 ipsec-policy-template 命 令 配 置 指定 
参数 %、 如 果 使 用 的 是 手工 建立 方式 ， 所 有 参数 都 需要 手工 配置 。 本 示例 
采用 的 是 手工 建立 方式 。 

security acl ac/-number 命 令 用 来 指定 IPSec 策略 所 引用 的 访问 控制 列 
表 。 

proposal proposa/-narme 命 令 用 来 指定 IPSec 策略 所 引用 的 提议 。 
tunnel local { ip-addqdress | binding-interface } 命 令 用 来 配置 安全 隧道 的 
本 端 地 址 。 

tunnel remote ijp-address 命 令 用 来 设置 安全 隧道 的 对 端 地 址 。 

sa spi { inbound | outbound } { ah | esp } spi-number 命 令 用 来 设置 安 
全 联盟 的 安全 参数 索引 SPI。 在 配置 安全 联盟 时 ， 入 方向 和 出 方向 安全 
联盟 的 安全 参数 索引 都 必须 设置 ， 并 且 本 端的 入 方向 安全 联盟 的 SPI 值 
必须 和 对 端的 出 方向 安全 联盟 的 SPI 值 相同 ， 而 本 端的 出 方向 安全 联盟 
的 SPI 值 必须 和 对 端的 入 方向 安全 联盟 的 SPI 值 相同 。 
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Sa string-key { inbound | outbound } 
{ ah | esp } { simple | cipher } string-key 命 令 用 来 设置 安全 联盟 的 认证 
密 铀 。 入 方向 和 出 方向 安全 联盟 的 认证 密 钥 都 必须 设置 ， 并 且 本 端的 入 
方向 安全 联盟 的 密 钥 必须 和 对 端的 出 方向 安全 联盟 的 密 钥 相同 ; 同时 ， 
本 端的 出 方向 安全 联盟 密 钥 必须 和 对 端的 入 方向 安全 联盟 的 密 钥 相同 。 
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IPSec VPN 配 置 


IPSec Tunnel 


10.1.2.1/24 
[RTA] interface GigabitEthernet 0/0/1 
[RTA-GigabitEthernet0/0/1]ipsec policy P1 


[RTA-GigabitEthernet0/0/1]quit 
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ipsec policy policy-name 命 令 用 来 在 接生 上 应 用 指定 的 安全 策略 组 。 手 
工 方式 配置 的 安全 策略 只 能 应 用 到 全 个 接口 。 
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配置 验证 


Sequence number: 10 

Security data flow: 300 

Tunnel local addre 

Tunnel remote address: 20.1.1.2 
Qos pre-classify: Disable 


Proposal name:tranl 
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执行 display ipsec policy [brief ||Iname policy-name [ seg-number ]] 命 
令 ， 可 以 查看 指定 IPSec 策 略 或 所 有 IPSec 策 略 。 命 令 的 显示 信息 中 包括 : 
策略 名 称 、 策 略 序号 、 提 议 名 称 \ACL、 隧 道 的 本 端 地 址 和 隧道 的 远 端 
地 址 等 。 
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配置 验证 


nbound ESP setting: 

P SPI: 12345 (0x3039 
string-key: huawei 

P encryption hex 

P authentication 

ound ESP setting: 

P SPI: 54321 (0xc 

P string-key: hu 


P encryption hex key: 








P authentication hex key: 
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执行 display ipsec policy 命 令 , “还 可 以 查看 出 方向 和 入 方向 SA 相关 的 
参数 。 
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e 安全 联盟 的 作用 是 什么 ? 
e IPSec VPN 将 会 对 过 滤 后 的 感 兴趣 数据 流 如 何 操作 ? 
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1. SA (Security Association) 安全 联盟 定义 了 IPSec 通 信 对 等 体 间 将 
使 用 的 数据 封装 模式 、 认 证 和 加 密 算法 、 密 钥 等 参数 。 

2.， 经 过 IPSec 过 滤 后 的 感 兴趣 数据 流 将 会 通过 SA 协商 的 各 种 参数 进行 
处 理 并 封装 ， 之 后 通过 IRSec 隧 道 转发 。 
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谢谢 


Www.huawel.com 
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GRE 原 理 与 配置 
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们 前 言 


IPSec VPN 用 于 在 两 个 端点 之 间 提供 安全 的 IP 通 信 ， 但 只 能 加 密 并 传播 单 
播 数据 ， 无 法 加 密 和 传输 语音 、 视 频 、 动 态 路 由 协议 信息 等 组 播 数据 流量 。 


通用 路 由 封装 协议 GRE (Generic Routing Encapsulation) 提供 了 将 一 种 协 
议 的 报 文 封 装 在 另 一 种 协议 报 文中 的 机 制 ， 是 一 种 隧道 封装 技术 。GRE 可 
以 封装 组 播 数 据 ， 并 可 以 和 IPSec 结合 使 用 ， 从 而 保证 语音 、 视 频 等 组 播 
业务 的 安全 。 
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学 完 本 课程 后 ， 您 应 该 能 : 
e 掌握 GRE 的 应 用 场景 

e 掌握 GRE 的 工作 原理 

e 掌握 GRE over IPSec 的 配置 
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GRE 应 用 场景 


e GRE 支 持 将 一 种 协议 的 报 文 封装 在 另 一 种 协议 报 文中 。 
e GRE 可 以 解决 异种 网 络 的 传输 问题 。 
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GRE 用 来 对 某 些 网 络 层 协议 如 IPX、 (lriterriet Packet Exchange) 的 报 文 
进行 封装 ， 使 这 些 被 封装 的 报 文 能 够 在 另 一 网 络 层 协议 (如 IP) 中 传输 
。GRE 可 以 解决 异种 网 络 的 传输 问题 。 

IPSec VPN 技 术 可 以 创建 全 条 跨越 共享 公 网 的 隧道 ， 从 而 实现 私 网 互联 
。|PSec VPN 能 够 安全 传输 IP 报 文 ， 但 是 无 法 在 隧道 的 两 个 端点 之 间 运 
行 RIP 和 OSPF 等 路 由 协议 。GRE 可 以 将 路 由 协议 信息 封装 在 另 一 种 协 
议 报 文 (例如 上 P) 申 进行 传输 。 
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GRE 应 用 场景 


e GRE 隧 道 扩展 了 受 跳 数 限制 的 路 由 协议 的 工作 范围 ， 支 持 企业 灵活 设计 
网 络 拓扑 。 
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使 用 GRE 可 以 克服 IGP 协 议 的 一 些 局 限 性 。 例 如 ，RIP 路 由 协议 是 一 种 
距离 矢量 路 由 协议 ， 最 大 跳 数 为 45 闪 如 果 网 络 直径 超过 15， 设 备 将 无 法 
通信 。 这 种 情况 下 ， 可 以 使 用 GRE 技 术 在 两 个 网 络 节点 之 间 搭 建 隧道 ， 
隐藏 它们 之 间 的 跳 数 ， 扩 大 网 络 的 工作 范围 。 
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GRE 应 用 场景 


e 首先 通过 GRE 对 报 文 进行 封装 ， 然 后 再 由 IPSec 对 封装 后 的 报 文 进行 加 
密 和 传输 。 
名 *. 
Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. _ NY 6 HUAWEI 





GRE 本 身 并 不 支持 加 密 ， 因 而 通过 GRE 隧 道 传 输 的 流量 是 不 加 密 的 。 将 
IPSec 技 术 与 GRE 相 结合 ， 可 以 先 建立 GRE 隧 道 对 报 文 进行 GRE 封 装 ， 
然后 再 建立 IPSec 隧 道 对 报 文 进行 加 密 ， 以 保证 报 文 传输 的 完整 性 和 私 


密 性 。 
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GRE 报 文 结构 


Ethernet Payload 


e GRE 在 封装 数据 时 ， 会 添加 GRE 头 部 信息 ， 还 会 添加 新 的 传输 协议 头 部 


忆 
信息 。 
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GRE 封 装 报 文 时 ， 封 装 前 的 报 文 称 为 净 依 ， 封 装 前 的 报 文 协议 称 为 乘客 
协议 ， 然 后 GRE 会 封装 GRE 头 部 ，GRE 成 为 封装 协议 ， 也 叫 运 载 协议 
， 最 后 负责 对 封装 后 的 报 文 进行 转发 的 协议 称 为 传输 协议 。 

GRE 封 装 和 人 解 封装 报 文 的 过 程 如 下 : 

1， 设备 从 连接 私 网 的 接口 接收 到 报 文 后 ， 检 查 报 文 头 中 的 目的 IP 地 址 
字段 ， 在 路 由 表 查 找 出 接口 ， 如 果 发 现 出 接口 是 隧道 接口 ， 则 将 报 
文 发 送 给 隧道 模块 进行 处 理 。 

2.， 隧道 模块 接收 到 报 文 后 首先 根据 乘客 协议 的 类 型 和 当前 GRE 隧 道 配 
置 的 校 验 和 参数 ， 对 报 文 进行 GRE 封 装 ， 即 添加 GRE 报 文 头 。 

3 然后， 设备 给 报 文 添加 传输 协议 报 文 头 ， 即 IP 报 文 头 。 该 IP 报 文 头 
的 源 地 址 就 是 隧道 源 地 址 ， 目 的 地 址 就 是 隧道 目的 地 址 。 

4” 最 后 ， 设 备 根据 新 添加 的 IP 报 文 头目 的 地 址 ， 在 路 由 表 中 查找 相应 
的 出 接口 ， 并 发 送 报 文 。 之 后 ， 封 装 后 的 报 文 将 在 公 网 中 传输 。 

5， 接收 端 设备 从 连接 公 网 的 接口 收 到 报 文 后 ， 首 先 分 析 IP 报 文 头 ， 如 
果 发 现 协 议 类 型 字段 的 值 为 47 ， 表 示 协 议 为 GRE， 于 是 出 接口 将 报 
文 交 给 GRE 模 块 处 理 。GRE 模 块 去 掉 IP 报 文 头 和 GRE 报 文 头 ， 并 根 
据 GRE 报 文 头 的 协议 类 型 字段 ， 发 现 此 报 文 的 乘客 协议 为 私 网 中 运 
行 的 协议 ， 于 是 将 报 文 交 给 该 协议 处 理 。 
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GRE 关 键 字 验证 


Internet 


GRE 隧 道 


Recursion Flags Version Protocol Type 
Checksum (Optional) 0 


Key (Optional) 


e 隧道 两 端 设备 通过 关键 字 字段 ( Key ) 来 验证 对 端 是 否 合法 。 


WY- 
2 % 
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关键 字 (Key) 验证 是 指 对 隧道 接口 进行 校 验 ， 这 种 安全 机 制 可 以 防止 
错误 接收 到 来 自 其 他 设备 的 报 文 。 关 键 字 字段 是 一 个 四 字 节 长 的 数值 ， 

若 GRE 报 文 头 中 的 K 位 为 1， 则 在 GRE 报 文 头 中 会 插入 关键 字 字 段 。 只 
有 隧道 两 端 设置 的 关键 字 完 全 一 致 时 才能 通过 验证 ， 否 则 报 文 将 被 丢弃 
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Keepalive 检 测 


Keepalive Message 
Keepalive Reply 
< 


e Keepalive 检 测 功 能 用 于 检测 隧道 对 端 是 否 可 达 。 
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Keepalive 检 测 功能 用 于 在 任意 时 刻 检 测 障 道 链 路 是 否 处 于 Keepalive 状 
态 ， 即 检测 障 道 对 端 是 否 可 达 。 如 果 对 端 不 可 达 ， 隧 道 连接 就 会 及 时 关 
闭 ， 避 免 形成 数据 空洞 。 使 能 Keepalive 检 测 功能 后 ，GRE 隧 道 本 端 会 
定期 向 对 端 发 送 Keepalive 探 测报 文 。 若 对 端 可 达 ， 则 本 端 会 收 到 对 端的 
回应 报 文 ; 若 对 端 不 可 达 蕊 则 收 不 到 对 端的 回应 报 文 。 如 果 在 障 道 一 端 
配置 了 Keepalive 功 能 ， 无 论 对 端 是 否 配 置 Keepalive， 配 置 的 Keepalive 
功能 在 该 端 都 生效 。 人 隧道 对 端 收 到 Keepalive 探 测报 文 ， 无 论 是 否 配置 
Keepalive ， 都 会 给 源 端 发 送 一 个 回应 报 文 。 

使 能 Keepalive 检 测 功能 后 ，GRE 隧 道 的 源 端 会 创建 一 个 计数 器 ， 并 周 
期 性 地 发 送 Keepalive 探 测报 文 ， 同 时 进行 不 可 达 计 数 。 每 发 送 一 个 探测 
报 六 ， 不 可 达 计 数 加 1。 

如 果 源 端 在 计数 器 值 达到 预先 设置 的 值 之 前 收 到 回应 报 文 ， 则 表明 对 端 
可 达 。 如 果 计 数 器 值 达 到 预先 设置 的 重 试 次 数 ， 源 端 还 是 没有 收 到 回应 
报 文 ， 则 认为 对 端 不 可 达 。 此 时 ， 源 端 将 关闭 隧道 连接 。 
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GRE 配 置 


10.1.1.1/24 10.1.2.1/24 


RTA-Tunnel0/0/1]ip 

RTA-Tunnel0/0/1]tunne rotocol gre 
RTA-TuNnel0/0/1]source 20.1.1. 

RTA-Tunnel0/0/l]destination 20 


RTA-TuNnnel0/0/1]quit 





RTA]ip route-static 10.1.2.0 24 
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interface tunnel interface-number 命 令 用 来 创建 Tunnel 接 口 。 创 建 
Tunnel 接 口 后 ， 需 要 配置 Tunnel 接 辐 的 IP 地 址 和 Tunnel 接 口 的 封装 协议 
tunnel-protocol 命 令 用 来 配置 Tunnel 接 口 的 隧道 协议 。 

source { source-ip:address | interface-type interface-number } 命 令 
来 配置 Tunnel 源 地 址 或 源 接口 。 

destination<dest-ip-address 命 令 用 来 指定 Tunnel 接 口 的 目的 IP 地 址 。 

在 本 端 设备 和 远 端 设备 上 还 必须 存在 经 过 Tunnel 转 发 的 路 由 ， 这 样 ， 需 
要 进行 GRE 封 装 的 报 文才 能 正确 转发 。 经 过 Tunnel 接 口 转发 的 路 由 可 以 
是 静态 路 由 ， 也 可 以 是 动态 路 由 。 配 置 静态 路 由 时 ， 路 由 的 目的 地 址 是 
GRE 封 装 前 原始 报 文 的 目的 地 址 ， 出 接口 是 本 端 Tunnel 接 口 。 
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配置 验证 





[RTA]display interf 
Tunnel0/0/1 current state : 
e protocol current state : U 
up time : 2013-08-2 
Series, Tunnel0/0/1 Interface 

e Maximum Transmit Unit is 1476 

ss is 40.1,.17:1/24 
Encapsulation is TUNNEL, 1 
Tunnel Source 20.1.1. (GigabitEthernet0/0/1) iestination 20.1.1.2 
Tunnel protocol/t 
‘eepalive disabled 


Checksumming 
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执行 display interface Tunnel 0/0/1 命 信 ， 可 以 查看 接口 的 运行 状态 和 
路 由 信息 。 如 果 接 口 的 当前 状态 和 链 路 层 协 议 的 状态 均 显 示 为 UP， 则 接 
口 处 于 正常 转发 状态 。 隧 道 的 源 地 址 和 目的 地 址 分 别 为 建立 GRE 隧 道 使 
用 的 物理 接口 的 IP 地 址 。 
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配置 验证 


Routing Tables: Public 
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执行 display ip routing table 命 令 ， 可 以 查看 IP 路 由 表 ， 判 断 GRE 隧 道 
连接 的 两 个 网 络 的 可 达 人 信息。 在 本 示例 中 ， 可 以 看 出 目的 地 址 为 通过 
GRE 隧 道 可 达 的 网 络 地址 ， 下 元 跳 地 址 为 GRE 隧 道 远 端 接口 的 IP 地 址 。 
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配置 Keepalive 检 测 


10.1.1.1/24 10.1.2.1/24 
[RTA] interface Tunnel 0/0/1 
[RTA-TuNnnel0/0/1] keepalive period 3 


[RTA-Tunnel0/0/1]quit K 
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执行 keepalive [ period period[ retry-times retry-times ] 命令 ， 可 以 在 
GRE 隧道 接口 启用 Keepalive 检 测 功能 。 其 中 ，period 参 数 指定 
Keepalive 检 测报 文 的 发 送 周期 , \ 默 认 值 为 5 秒 ; retry-times 参 数 指定 
Keepalive 检 测报 文 的 重 传 次 数 》 默 认 值 为 9。 如 果 在 指定 的 重 传 次 数 内 
未 收 到 对 端的 回应 报 冯 C 则 认为 隧道 两 端 通信 失败 ，GRE 隧 道 将 被 拆除 


oo 
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配置 验证 


erface Tunnel 
IITunnel0/0/1 current state : UP 
Line protocol current state : DOWN 
AR Series, Tunnel 
Maximum Transmit Unit i 
Internet Address is 40.1.1.1/24 
Encapsulation is T IE oopback not set 
[Tunnel source 20.1.1.1 (GigabitEthernet0/0/1})}, destination 20.1.1.2 


[Tunnel protocol/transport GRE/IP ‘ey disabled 
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执行 display interface tunnel 命 令 , 还 可 以 查看 GRE 的 Keepalive 功 能 
是 否 使 能 。 本 示例 中 ，Keepalive 检 测 功能 的 当前 状态 显示 为 启用 ， 且 报 
文 的 发 送 周 期 为 3 秒 ， 重 传 次 数 为 3 次 。 
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e GRE 的 应 用 场景 有 哪些 ? 


e display interface tunnel 命 令 显示 的 信息 中 会 包含 Internet Address 和 
Tunnel source， 这 两 者 的 区 别 是 什么 ? 
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1. GRE 可 以 解决 异种 网 络 的 传输 问题 ASGRE 隧 道 扩 展 了 受 跳 数 限制 的 
路 由 协议 的 工作 范围 ， 支 持 企业 灵活 设计 网 络 拓 扑 ; GRE 可 以 与 
IPSec 结合 来 实现 加 密 传输 组 播 数据 。 

2. 


Internet Address 代 表 硅 立 GRE 隧 道 所 用 的 虚拟 隧道 地 址 ，Tunnel 
source 表 示 隧 道 的 起 点 是 设备 的 出 接口 物理 地 址 。 
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谢谢 


Www.huawel.com 
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Module-4 


优化 企业 网 络 的 可 管理 性 


SNMP 原 理 与 配置 
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纺 前 言 


随 着 网 络 技术 的 飞速 发 展 ， 企 业 中 网 络 设备 的 数量 成 几何 级 数 增长 ， 网 络 
设备 的 种 类 也 越 来 越 多 ， 这 使 得 企业 网 络 的 管理 变 得 十 分 复杂 。 


简单 网 络 管理 协议 SNMP ( Simple Network Management Protocol ) 可 以 实 


现 对 不 同 种 类 和 不 同 厂商 的 网 络 设备 进行 统一 管理 ， 大 大 提升 了 网 络 管理 
的 效率 。 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved QD HUAWEI 


0 2840 


果 程 后 ， 您 应 该 能 : 
握 SNMP 的 基本 概念 
握 SNMP 的 基本 配置 
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SNMP 应 用 场景 


e _ SNMP 用 来 在 网 络 管理 系统 NMS 和 被 管理 设备 之 间 传 输 管 理 信息 。 
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SNMP 是 广泛 应 用 于 TCP/IP 网 络 的 一 种 网 络 管理 协议 。SNMP 提 供 了 一 
种 通过 运行 网 络 管 理 软 件 NMS (Network Management System) 的 网 
络 管理 工作 站 来 管理 网 络 设备 的 方法 。 

SNMP 支 持 以 下 几 种 操作 : 

1，NMS 通 过 SNMP 协 议 给 网 络 设备 发 送 配 置信 息 。 

2. NMS 通 过 SNMR 来 查询 和 获取 网 络 中 的 资源 信息 。 


3， 网 络 设备 主动 向 NMS 上 报告 警 消息 ， 使 得 网 络 管理 员 能 够 及 时 处 理 
各 种 网 络 问题 。 
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SNMP 架 构 


e SNMP 包 括 NMS，Agent 和 MIB 等 。 
e@ Agent 是 被 管理 设备 中 的 一 个 代理 进程 。 
e MIB 是 一 个 数据 库 ， 它 包含 了 被 管理 设备 所 维护 的 变量 。 
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1. NMS 是 运行 在 网 管 主机 上 的 网 络 管理 软件 。 网 络 管理 员 通 过 操作 
NMS， 向 被 管理 设备 发 出 请 求 , SN 从 而 可 以 监控 和 配置 网 络 设备 。 

2. Agent 是 运行 在 被 管理 设备 上 的 代理 进程 。 被 管理 设备 在 接收 到 
NMS 发 出 的 请 求 后 ， 由 Agent 作 出 响应 操作 。Agent 的 主要 功能 包括 : 
收集 设备 状态 信息 实现 NMS 对 设备 的 远程 操作 、 向 NMS 发 送 告警 
消息 。 

3. 管理 信息 库 MIB* (Management Information Base) 是 一 个 虚拟 的 数 
据 库 * 是 在 被 管理 设备 端 维护 的 设备 状态 信息 集 。Agent 通 过 查找 
MIB 来 收集 设备 状态 信息 。 
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SNMP 版 本 


版 本 描述 
SNMPv1 实现 方便 ， 安 全 性 弱 。 


SNMPv2c 有 一 定 的 安全 性 。 现在 应 用 最 为 广泛 。 


SNMPv3 定义 了 一 种 管理 框架 ， 为 用 户 提供 了 安全 的 访问 机 制 。 
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: SNMPv1: 网 管 端 工作 站 上 的 NMS 与 被 管理 设备 上 的 Agent 之 间 ， 


通过 交互 SNMPv1 报 文 ， 可 以 实现 网 管 端 对 被 管理 设备 的 管理 。 
SNMPv1 基 本 上 没有 什么 安全 性 可 言 。 

SNMPv2c 在 继承 SNMPv14 的 基础 上 ， 其 性 能 、 安 全 性 、 机 密 性 等 方 
面 都 有 了 大 的 改进 


SNMPv3 是 在 SNMPv2 基 础 之 上 增加 、 完 善 了 安全 和 管理 机 制 。 
SNMPv3 体 系 结构 体现 了 模块 化 的 设计 思想 ， 使 管理 者 可 以 方便 灵 
活 地 实现 功能 的 增加 和 修改 。SNMPv3 的 主要 特点 在 于 适应 性 强 ， 
可 适用 于 多 种 操作 环境 ， 它 不 仅 可 以 管理 最 简单 的 网 络 ， 实 现 基本 
的 管理 功能 ， 也 可 以 提供 强大 的 网 络 管理 功能 ， 满 足 复 杂 网 络 的 管 
理 需求 。 


SNMPv1 


Get-Request 


Response 
ss 


Get-Next Request 3 
Response 
Set-Request > 
E Response 
Trap 
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SNMPv1 定 义 了 5 种 协议 操作 : 

1. Get-Request: NMS 从 代理 进程 的 MIB 中 提取 一 个 或 多 个 参数 值 。 

2. Get-Next-Request: NMS 从 代理 进程 的 MIB 中 按照 字典 式 排序 提取 
下 一 个 参数 值 。 

3. Set-Request: NMS 设 置 代理 进程 MIB 中 的 一 个 或 多 个 参数 值 。 

4. Response:、 代 理 进程 返回 一 个 或 多 个 参数 值 。 它 是 前 三 种 操作 的 响 
应 操作 。 

5. I 告知 设备 上 发 生 的 紧急 或 重 
a o 
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SNMPv2c 


Get-Bulk Request 
Response 
ES 


Inform Request 


Inform Response 
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SNMPv2c 新 增 了 2 种 协议 操作 : 

1. GetBulk: 相 当 于 连续 执行 多 次 GetNext 操 作 。 在 NMS 上 可 以 设置 被 管 
理 设备 在 一 次 GetBulk 报 文 交互 时 ， 执 行 GetNext 操 作 的 次 数 。 

2，Inform: 被 管理 设备 向 NMS 主 动 发 送 告警 。 与 trap 告 警 不 同 的 是 ， 被 
管理 设备 发 送 Inform 告 警 后 ， 需 要 NMS 进 行 接收 确认 。 如 果 被 管 设 
备 没有 收 到 确认 信息 则 会 将 告警 暂时 保存 在 Inform 缓 存 中 ， 并 且 会 
重复 发 送 该 告警 ， 直 到 NMS 确 认 收 到 了 该 告警 或 者 发 送 次 数 已 经 达 
到 了 最 大 重 传 次 数 。 
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SNMPVv3 


3 


Get-Request 


Response 
nn 


带 安 全 参数 的 Get-Request 


加 密 的 Response 
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SNMPv3 的 实现 原理 和 SNMPv1/SNMPV2c 基 本 一 致 ， 主 要 的 区 别 是 

SNMPv3 增 加 了 身份 验证 和 加 密 处 理 。 

1，NMS 向 Agent 发 送 不 带 安全 人 参数 的 Get 请 求 报 文 ， 向 Agent 获 取 安 全 
参数 等 信息 。 

2，Agent 响 应 NMS 的 请 求 * 向 NMS 反 馈 所 请 求 的 参数 。 

NMS 向 Agent 发 送 市 安全 参数 的 Get 请 求 报 文 。 

4，Agent 对 NMS 发 送 的 请 求 消息 进 行 认证 ， 认 证 通过 后 对 消息 进行 解 
密 , < 解密 成 功 后 ， 向 NMS 发 送 加 密 的 响应 。 


0 2910 


SNMP 配 置 


3 GO/0/1 
20.1.1.1/24 20.1.1.2/24 


A]snmp-agent 
agent sys-info version v2c 
igent trar nable 


agent trap source GigabitEthernet0/0/1 
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snmp-agent 命 令 用 来 使 能 SNMP 代 理 & 

执行 snmp-agent sys-info versionN[ [ v1 | v2c | v3 ] * | all ] 命 令 可 以 
配置 SNMP 系 统 信息 ， 其 中 version [[ v1 | v2c | v3 ] * | all ] 指 定 设 备 运 
行 的 SNMP 版 本 。 缺 省 情况 下 ，ARG3 系 列 路 由 器 支持 SNMPv1 ， 
SNMPv2c，SNMPv3 版 本 。 


执行 snmp-agentNtrap enable 命令 ， 可 以 激活 代理 向 NMS 发 送 告 警 消 
息 的 功能 ， 这 一 功能 激活 后 ， 设 备 将 向 NMS 上 报 任 何 异 常事 件 。 另 外 ， 
还 需要 指定 发 送 告警 通告 的 接口 ， 本 示例 中 指定 的 是 与 NMS 相 连 的 
GigabitEthernet 0/0/1 接 口 。 


0 2920 


配置 验证 


ay Snmp-agent sys-info 
The contact Person for this 


Shenzhen, Huawei Technologi 


The physical location of this 


Shenzhen China 





SNMP version running in the system: 


SNMPV2c 
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执行 display snmp-agent sys-info 命 今 ， 可 以 查看 系统 维护 的 相关 信 
息 ， 包 括 设备 的 物理 位 置 和 SNMPR 版 本 。 


0 2930 


e 配置 SNMP 时 ， 默 认 的 版 本 号 是 多 少 ? 
e 代理 进程 Agent 发 送 trap 信 息 给 NMS 时 ， 目 的 端口 号 是 多 少 ? 
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1， 华为 ARG3 系 列 路 由 器 默认 使 能 SNMP 的 所 有 版 本 (SNMPv1 、 
SNMPv2c 和 SNMPv3) 。 


2 代理 进 程 使 用 UDP 协议 向 NMS 发 送 告警 消息 ， 目 的 端口 号 为 162。 
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谢谢 


Www.huawel.com 





0 2950 


eSight 简 介 
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全 前 言 


随 着 企业 业务 的 不 断 发 展 ， 企 业 网 络 的 结构 也 越 来 越 复杂 ， 并 且 常 常会 包 
含 来 自 不 同 厂商 的 多 种 网 络 设备 。 若 每 种 设备 都 使 用 与 之 配套 的 网 管 平台 
来 管理 ， 这 将 给 管理 员 的 网 络 管理 工作 带 来 很 大 不 便 。 

eSight 是 华为 面向 企业 市 场 推出 的 新 一 代 网 络 运 维 管理 系统 ， 它 能 够 支持 
多 厂商 设备 的 管理 ， 也 能 支持 多 种 设备 的 管理 ， 极 大 地 提升 了 网 络 管理 的 


效率 。 
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(@@ 学 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
e 了 解 eSight 在 企业 网 络 中 的 应 用 场景 


e 掌握 eSight 的 常用 管理 功能 
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eSight 应 用 场景 


e eSight 是 华为 公司 推出 的 新 一 代 面 向 企业 有 线 /无 线 园区 、 企 业 分 冯 网 络 、 
数据 中 心 网 络 的 运 维 管理 系统 ， 能 够 实现 对 企业 资源 、 业 务 、 洞 户 的 统 
一 管理 及 智能 联动 。 
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eSight 系 统 是 华为 公司 推出 的 新 一 代 面 回 企 业 有 线 /无 线 园区 、 企 业 分 支 
网 络 、 数 据 中 心 网 络 的 运 维 管 理 系 统 ， 能 够 实现 对 企业 资源 、 业 务 、 用 
户 的 统一 管理 以 及 智能 联动 。 

eSight 支 持 对 多 厂商 设备 进行 统一 管理 ， 支 持 对 WLAN 无 线 网 络 进 行 监 
控 和 配置 管理 ， 支 持 对 MPES VPN 网 络 进行 监控 管理 。 它 可 以 通过 SLA 
、 网 络 流量 分 析 功 能 对 网 络 质量 进行 监视 和 分 析 ， 还 可 以 通过 数据 中 心 
nCenter 组 件 实 现 对 数据 中 心虚 拟 机 网 络 的 管理 。 同 时 ，eSight 提 供 了 灵 
活 的 开放 平 合 ， 为 企业 量 身 打造 自己 的 智能 管理 系统 提供 了 基础 。 
eSight 提 供 了 三 个 版 本 以 适应 不 同 的 企业 网 络 规 模 ， 这 三 个 版 本 分 别 为 : 
精简 版 、 标 准 版 和 专业 版 。 精 简 版 支持 以 下 功能 : 告警 管理 、 性 能 管理 、 
拓扑 管理 、 配 置 文件 管理 、 网 元 管理 、 链 路 管理 、 日 志 管理 、 物 理 资 源 、 
电子 标签 、IP 拓 扑 、 智 能 配置 工具 、 定 制 设备 管理 、 安 全 管理 、 终 端 接 
六 管理 、 系 统 监控 工具 、 数 据 库 备份 /恢复 工具 、 故 障 采 集 工 具 和 MIB 管 
理 。 除 精简 版 所 支持 的 功能 外 ， 标 准 版 还 支持 : WLAN 管 理 、 网 流 分 析 、 
SLA 管 理 、QoS 管 理 、MPLS VPN 管 理 、MPLS 隧 道 管理 、|IPSec VPN 
管理 、 报 表 管理 、LogCenter、Secure Center 和 SNMP 告 警 北 向 接口 。 
除 标准 版 支持 的 所 有 功能 外 ， 专 业 版 还 支持 : 数据 中 心 nCenter 管 理 、 
分 级 网 络 管理 和 Linux 双 机 热 备 。 


0 2990 


eSight 的 功能 特性 


有 wa 


和 
1 资源 管理 


e eSight 支 持 多 种 业务 的 灵活 管理 ， 提 供 全 面 的 基础 网 络 管理 、N 网 元 管理 、 
业务 管理 和 系统 管理 等 功能 。 
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eSight 能 够 管理 多 厂商 设备 ， 监 控 、 分 析 并 管理 网 络 中 的 各 种 服务 和 网 
元 。 例 如 : 

1.SLA 组 件 提 供 了 网 络 性 能 度量 与 诊断 功能 ， 用 户 通过 创建 SLA 任 务 可 
以 周期 性 地 监控 网 络 的 时 延 \。 丢 包 、 拌 动情 况 ， 并 根据 SLA 服 务 中 提供 
的 服务 来 计算 出 当前 网 络 的 符合 度 情况 。 

2.eSight NTA 组 件 提供 了 一 种 便捷 、 经 济 的 网 络 流量 分 析 方 法 ， 能 够 深 
入 分 析 网 络 中 的 流量 数据 并 提供 详细 的 流量 分 析 报 告 。 

3.WLAN 组 件 提 供 了 有 线 无 线 一 体 化 的 解决 方案 ， 实 现 了 有 线 网 络 和 无 
线 网 络 的 融合 管理 。 

4. 晶 志 管 理 组 件 是 华为 面向 行业 用 户 推 出 的 统一 日 志 管 理 系统 ， 实 现 对 
华为 安全 产品 的 全 面 日 志 分 析 和 安全 审计 等 功能 ， 具 有 高 集成 度 、 高 可 
靠 性 等 特点 。 

5. 故 障 管理 组 件 可 以 通过 告警 实时 浏览 、 告 警 操 作 、 告 警 规则 设 定 ( 屏 
蔽 规则 、 声 音 设 定 ) 、 告 警 远程 通知 等 手段 对 网 络 中 的 异常 情况 进行 实 
时 监视 ， 便 于 网 络 管理 员 及 时 采取 措施 ， 恢 复 网 络 正常 运行 。 

6. 资 源 管理 组 件 可 以 根据 资源 在 网 络 中 的 实际 位 置 将 设备 划分 到 不 同 的 
子 网 ， 对 设备 进行 分 组 ， 对 同一 组 中 的 设备 进行 批量 操作 ， 并 人 允许 管理 
员 配 置 和 查询 资源 信息 (包括 系统 、 整 机 、 单 板 、 子 卡 和 端口 ) 。 
7.MIB 管 理 组 件 用 于 读 取 、 编 辑 、 储 存 及 使 用 MIB 文 件 。eSight 可 以 通过 
SNMPv1、SNMPv2c 或 SNMPv3 读 取 和 监控 MIB 数 据 。 


8. 安 全 管理 组 件 用 于 管理 华为 防火 墙 或 统一 威胁 管理 (UTM) 环境 所 布 
放 设 备 上 的 大 量 安全 策略 。 


0 3000 


配置 文件 管理 


EE 
eSight ~ 


设备 配置 文件 管理 模块 


FTP 服 务 


周期 性 文件 备份 


SNMP Trap 
Target: NMS (FTP) 


e eSight 可 以 对 设备 的 配置 文件 进行 管理 ， 包 括 对 设备 的 配置 区 件 进 行 导 
入 、 备 份 、 恢 复 等 操作 。 
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eSight 人 允许 管理 员 对 设备 的 配置 文件 执行 备份 和 恢复 操作 ， 以 确保 配置 
文件 的 安全 性 。esight 在 配置 文件 管理 操作 中 作为 FTP server， 设 备 作 为 
FTP client。 在 对 设备 配置 文件 进行 备份 、 恢 复 操 作 前 ， 需 确认 文件 传输 
服务 FTP 参 数 配置 正确 ， 以 确保 网 元 与 网 管 之 间 文 件 传 输 服 务 正常 运行 
。 这 些 参数 包括 访问 RFP 服务 的 用 户 名 和 密码 、 配 置 文件 在 eSight 上 的 
保存 位 置 ， 以 及 FIR 服 务 的 类 型 (FTP、SFTP 或 TFTP。 默 认 类 型 为 
FTP) 。 


eSight 可 以 指定 一 个 备份 任务 以 定期 备份 设备 的 配置 文件 〈 每 天 、 每 周 
或 每 月 的 茶 个 时 间 点 ) ， 也 可 以 配置 备份 操作 的 触发 条 件 ， 如 在 设备 配 
置 发 生变 更 时 发 送 SNMP 告 警 信息 ，eSight 收 到 告警 后 执行 文件 备份 操 
作 。 
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WLAN 管 理 


一 一 一 Data Services 
AP Management Services 


一 "一 ”AcCManagement Services 


e eSight 为 企业 WLAN 网 络 提供 了 一 体 化 的 管理 方案 。 
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WLAN 管 理 组 件 为 企业 网 络 提 供 有线 和 无 线 一 体 化 的 解决 方案 ， 实 现 
了 有 线 网 络 和 无 线 网 络 的 融合 管理 。 

1. 向 导 式 业务 批量 部 署 : 批量 AP 统一 下 发 无 线 业 务 配 置 。 

2. 无 线 资源 统一 管理 : .AC、AP、 无 线 用 户 、 区 域 统一 管理 。 

3. 用 户 故障 诊断 :用户 接 入 网 络 故 障 与 用 户 接 入 后 的 健康 度 诊断 。 

4. 无 线 网 络 安全 检测 : WIDS 统 一 监控 入 侵 网 络 设备 与 非 WIFI 干扰 源 ， 
并 提供 频谱 分 析 能 

5. 无 线 网 络 拓扑 可 视 化 管理 : 实现 AC、AP 人 逻辑 管理 拓扑 统一 呈现 ， 并 
基于 区 域 对 AP 物理 布 放 位 置 可 视 化 呈现 ， 并 展现 AP 的 热 图 覆盖 。 


0 3020 


WLAN 管 理 


三 四川 
sr 本 


-一 -一 一 一 一 一 一- -一 
e eSight 可 以 实现 对 企业 WLAN 网 络 的 监控 、 配 置 管理 、 故 障 诊断 等 管理 
功能 
4 
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AP 产生 的 无 线 射 频 信 号 极其 容易 受到 十 执 。 在 设备 上 启用 AP 无 线 射频 

功能 后 ， 用 户 可 以 在 网 管 系统 中 查 痢 AP 周围 的 信号 干扰 情况 。 用 户 还 能 
0 图 确定 信 道 的 质量 和 周围 的 干扰 源 。 eSight 文 持 五 种 A 频谱 
: 实时 FFT 图 、 频 谱 密 度 图 、\ 占 空 比 图 、 信 道 质量 频谱 图 和 信道 质量 
图 。 此 外 ， 如 本 例 J 所 用 户 还 可 以 在 区 域内 布防 AP、 查看 热点 覆盖 区 
域 ， 并 及 时 发 现 信 号 履 盖 的 盲区 和 冲突 区 。 在 启用 了 无 线 定位 功能 的 区 
域 中 ， 用 户 和 未 授权 设备 的 最 新 位 置 会 及 时 更 新 到 拓扑 中 。 这 样 就 可 以 


i 号 覆盖 情况 ， 标 注 信 号 冲突 的 区 域 、 预 
先 布 防 AP、 查看 模拟 信 ， 并 检查 AP 上 线 后 的 实际 信号 覆盖 情况 


oo 
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eSight 网 络 流量 分 析 器 


3 eSight NTA 


S v 


人 


Web 浏览 


e NTA(Network Traffic Analyzer) 管 理 组 件 可 以 对 网 络 中 的 数据 进行 取证 和 
分 析 ， 及 时 发 现 网 络 中 的 异常 流量 。 
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eSight 的 NTA 组 件 提供 了 一 种 便捷 、 经 济 的 网 络 流量 分 析 方 法 ， 能 够 深 
入 分 析 网 络 中 的 流量 数据 并 提供 详细 的 流量 分 析 报 告 。 用 户 利用 NTA 能 
实时 监控 全 网 应 用 流量 分 布 ， 能 及 时 发 现 网 络 中 异常 流量 ， 并 能 根据 长 
期 的 流量 分 布 做 好 网 络 规划 , ,做 到 流量 可 视 、 故 障 可 查 、 规 划 可 依 的 网 
络 透明 化 管理 。 
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eSight 网 络 流量 分 析 器 


中 smd 
-CX 


HncomngRate Oubound Speed bncoming Packets pakets 站 Inbowd Utliaation 。 DutbeundUtlinaton incoming Packets Outgoing Packets 
tps Ge 


e 网 络 流量 分 析 器 提供 了 全 网 流量 概览 ， 能 够 多 维度 、 实 时 展现 全 网 流量 
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eSight 的 NTA 组 件 提供 了 流量 操控 板 功 能 ， 能 够 实时 展示 全 网 流量 状态 
。 操 控 板 可 显示 接口 流量 排行 、 接 国 利 用 率 流量 排行 、 设 备 流量 排行 、 
应 用 流量 排行 、 主 机 流量 排行 、DSCP 流 量 排行 和 会 话 流量 排行 。 用 户 
a 并 可 以 通过 组 件 生成 的 流量 报表 查看 流量 
详情 。 
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eSight 网 络 流量 分 析 器 


GigabitEthernerd/o lgugan_AR2220_225) scra tortacr) inter 
ast 1 hour 志 Al 夫 Traffic 志 Rate 志 


Intertace Te Treod 


e 提供 向 导 式 的 自 定义 报表 能 力 ， 用 户 可 以 灵活 定制 所 关注 的 流量 报表 。 
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eSight 支 持 以 饼 图 、 柱 状 图 、 曲 线 图 人 区域 图 和 图 表 等 各 种 形式 形象 地 

展示 流量 和 各 种 统计 分 析 数 据 。 统 计数 据 支 持 以 下 几 种 汇总 类 型 : 应 用 
汇总 、 会 话 汇总 、 DSCP 汇 总 ， 源 主 机 汇总 、 目的 主机 汇总 和 接口 汇总 
。eSight 可 以 按照 源 地 址 = 四 的 地 址 和 应 用 等 条 件 过 滤 流 量 。eSight 能 
够 生成 瞬时 报表 ， 也 可 以 按照 管理 员 设 定 的 周期 定期 生成 报表 。 报 表 生 
成 后 ，eSight 会 推送 关键 信息 显示 于 eSight 首 页 。eSight 还 能 够 以 邮件 
方式 向 用 户 发 送 批量 下 载 的 详细 流量 统计 信息 。 
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@ 诗 


e eSight 有 哪些 版 本 ? 
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1. eSight 网 络 管理 平台 有 三 个 版 本 : 精简 版 、 标 准 版 和 专业 版 。 


0 3070 


谢谢 
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Module-5 


迁移 企业 网 络 至 IPv6 


IPv6 基 础 介绍 





0 3110 


们 前 言 


随 着 Internet 规 模 的 扩大 ，IPv4 地 址 空间 已 经 消耗 列 尽 。 针 对 IPv4 的 地 址 短 
缺 问 题 ， 曾 先后 出 现 过 CIDR 和 NAT 等 临时 性 解决 方案 ， 但 是 CIDR 和 NAT 
都 有 各 自 的 弊端 ， 并 不 能 作为 IPv4 地 址 短缺 问题 的 彻底 解决 方案 。 另 外 ， 
安全 性 、QoS( 服 务 质 量 )、 简 便 配 置 等 要 求 也 表明 需要 一 个 新 的 协议 来 根 
本 解决 目前 IPv4 面 临 的 问题 。 

IETF 在 20 世 纪 90 年 代 提出 了 下 一 代 互联 网 协议 -IPv6，IPv6 支 持 几乎 无 限 
的 地 址 空间 。IPv6 使 用 了 全 新 的 地 址 配置 方式 ， 使 得 配置 更 加 简单 。IPv6 
还 采用 了 全 新 的 报 文 格式 ， 提 高 了 报 文 处 理 的 效率 、 安 全 性 ， 也 能 更 好 的 
支持 QoS 。 
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果 程 后 ， 您 应 该 能 : 
握 IPv6 的 基本 概念 
握 IPv6 地 址 格式 和 地 址 类 型 
握 IPv6 无 状态 地 址 配置 的 过 程 
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IPv6 地 址 


IPv4 32 bit 4,294,967,296 


IPv6 128 bit 340,282,366,920,938,463,374,607,431,768,211,456 


e IPv4 地 址 空间 已 经 消耗 列 尽 ， 近 平 无 限 的 地 址 空间 是 IRv6 的 最 大 优势 。 
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在 因特网 发 展 初期 ，IPv4 以 其 协议 简单 v 易于 实现 、 互 操作 性 好 的 优势 
而 得 到 快速 发 展 。 然 而 ， 随 着 因特网 的 迅猛 发 展 ，IPv4 地 址 不 足 等 设计 
缺陷 也 日 益 明 显 。IPv4 理 论 上 仅仅 能 够 提供 的 地 址 数量 是 43 亿 ， 但 是 由 
于 地 址 分 配 机 制 等 原因 ， 突 际 可 使 用 的 数量 还 远 远 达 不 到 43 亿 。 因 特 网 
的 迅 了 L 儿 发展 仿 人 始 料 未 及 ， 同时 也 带 来 了 地 址 短缺 的 问题 。 针 对 这 一 问 
题 ， 曾 先后 出 现 过 上 诚 种 解决 方案 ， 比 如 CIDR 和 NAT。 但 是 CIDR 和 NAT 
都 有 各 自 的 次 端 和 不 色 E 解 决 的 问题 ， 在 这 样 的 情况 下 ，IPv6 的 应 用 和 推 
广 便 显得 越 来 越 急迫 。 
IPv6 是 Internet 工 程 任务 组 (IETF) 设计 的 一 套 规范 ， 它 是 网 络 层 协议 
的 第 芋 代 标准 协议 ， 也 是 IPv4 (Internet Protocol Version 4) 的 升级 版 
本 o\IPV6 与 IPv4 的 最 显著 区 别 是 ，IPv4 地 址 采用 32 比 特 标 识 ， 而 IPv6 地 
址 采用 128 比 特 标识 。128 比 特 的 IPv6 地 址 可 以 划分 更 多 地 址 层级 、 拥 有 
更 广阔 的 地 址 分 配 空间 ， 并 支持 地 址 自动 配置 。 
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IPv6 基 本 报头 





0 4 
Version Traffic Class Flow Label 


Payload Length Next Header Hop limit 


Source Address (128bits) 


Destination Address (128bits) 


e IPv6 的 基本 报头 在 IPv4 报 头 的 基础 上 ， 增 加 了 流标 签 域 ， 去 除了 一 些 元 
余 字 段 ， 使 报 文 头 的 处 理 更 为 简单 、 高 效 。 
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人 

组 成 。 

基本 报头 中 的 各 字段 解释 如 下 : 

1. Version: 版 本 号 ， 长 度 为 4bit。 对 于 IPv6， 该 值 为 6。 

2. Traffic Class: 流 类 别 ， 长 度 为 8bit， 它 等 同 于 IPv4 报 头 中 的 TOS 字 
段 ， 表 示 IPv6 数 据 报 的 类 或 优先 级 ， 主 要 应 用 于 QoS。 

3，Flow Lapel 和 流标 签 ， 长 度 为 20bit， 它 用 于 区 分 实时 流量 。 流 可 以 
理解 为 特定 应 用 或 进程 的 来 自 某 一 源 地 址 发 往 一 个 或 多 个 目的 地 址 
的 连续 单 播 、 组 播 或 任 播 报 文 。IPv6 中 的 流标 签字 段 、 源 地 址 字段 
和 目的 地 址 字段 一 起 为 特定 数据 流 指 定 了 网 络 中 的 转发 路 径 。 这 样 
, ` 报 文 在 IP 网 络 中 传输 时 会 保持 原 有 的 顺序 ， 提 高 了 处 理 效 率 。 随 
着 三 网 合 一 的 发 展 趋势 ，IP 网 络 不 仅 要 求 能 够 传输 传统 的 数据 报 文 
， 还 需要 能 够 传输 语音 、 视 频 等 报 文 。 这 种 情况 下 ， 流 标签 字段 的 
作用 就 显得 更 加 重要 。 

4. Payload Length: 有 效 载荷 长 度 ， 长 度 为 16bit， 它 是 指 紧 跟 IPv6 报 
头 的 数据 报 的 其 它 部 分 。 

5. Next Header: 下 一 个 报头 ， 长 度 为 8bit。 该 字段 定义 了 紧 跟 在 IPv6 
报头 后 面 的 第 一 个 扩展 报头 (如 果 存 在 ) 的 类 型 。 

6.， 跳 数 限制 (Hop Limit) ， 长 度 为 8bit， 该 字段 类 似 于 IPv4 报 头 中 的 
Time to Live 字 段 ， 它 定义 了 IP 数 据 报 所 能 经 过 的 最 大 跳 数 。 每 经 过 
一 个 路 由 器 ， 该 数值 减 去 1; 当 该 字段 的 值 为 0 时 ， 数 据 报 将 被 丢弃 


oo 
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7. Source Address: 源 地 址 ， 长 度 为 128bit， 表 示 发 送 方 的 地 址 。 
8. Destination Address: 目的 地 址 ， 长 度 为 128bit， 表 示 接 收 方 的 地 址 


与 |Pv4 相 比 ，IPv6 报 头 去 除了 IHL、ldentifier、Flags、Fragment Offset 
、Header Checksum、 Options、Padding 域 ， 只 增 了 流标 签 域 ， 因 此 
IPv6 报 文 头 的 处 理 较 IPv4 大 大 简化 ， 提 高 了 处 理 效 率 。 另 外 ，IPv6 为 了 
更 好 支持 各 种 选项 处 理 ， 提 出 了 扩展 头 的 概念 。 
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IPv6 扩 展 报头 





IPv6 Extension TCP 


0x06 (TCP) Reserved Fragment Offset 


Identification 


e IPv6 扩 展 报 头 是 跟 在 IPv6 基 本 报头 后 面 的 可 选 报头 ， 可 以 有 失修 或 多 个 。 
e 如 图 所 示 的 扩展 报头 是 分 片 扩展 报头 。 
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IPv6 增 加 了 扩展 报头 ， 使 得 IPv6 报 头 更 加 简化 。 一 个 IPv6 报 文 可 以 包含 
0 个 、1 个 或 多 个 扩展 报头 ， 仅 当 需 要 路 由 器 或 目的 节点 做 某 些 特殊 处 理 
时 ， 才 由 发 送 方 添加 一 个 或 多 个 扒 展 头 。IPv6 支 持 多 个 扩展 报头 ， 各 扩 
展 报头 中 都 含有 一 个 下 一 余 报 头 字 段 ， 用 于 指明 下 一 个 扩展 报头 的 类 型 
。 这 些 报头 必须 按照 以 下 顺序 出 现 : 

1. IPv6 基 本 报关 


封装 安全 有 效 载荷 扩展 报头 
目的 选项 扩展 报头 〈 指 那些 将 被 分 组 报 文 的 最 终 目 的 地 处 理 的 选项 
) 


2， 逐 跳 选 项 扩展 报头 
3， 目的 选项 护 展 报头 
4. 路 由 扩展 报头 
5， 分 片 扩展 报头 
6.、 认 证 扩展 报头 

7. 

8. 


9. 上 层 协 议 数据 报 文 


除了 目的 选项 扩展 报头 外 ， 每 个 扩展 报头 在 一 个 报 文中 最 多 只 能 出 现 一 
次 。 目 的 选项 扩展 报头 在 一 个 报 文中 最 多 也 只 能 出 现 两 次 ， 一 次 是 在 路 


由 扩展 报头 之 前 ， 另 一 次 是 在 上 层 协 议 扩展 报头 之 前 。 
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IPv6 地 址 格式 


2001:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX 
0010 0000 0000 0001 


128bits 


2001:0DB8:0000:0000:0000:0000:0346:8D58 


IPv6 前 级 接口 标识 Kk 


e IPv6 地 址 长 度 为 128 比 特 ， 每 16 比 特 划分 为 一 段 ， 每 段 由 4 个 十 六 进 制 数 
表示 ， 并 用 冒号 隔 开 。 
e |IPv6 地 址 包括 网 络 前 缀 和 接口 标识 两 部 分 。 
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IPv6 地 址 长 度 为 128 比 特 ， 用 于 标识 所 个 或 一 组 接口 。IPv6 地 址 通常 写 
作 XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXx ， 其 中 xxxx 是 4 个 十 六 进 制 
数 ， 等 同 于 一 个 16 比 特 二 进 制 数 》” 八 组 xxxx 共 同 组 成 了 一 个 128 比 特 的 
IPv6 地 址 。 一 个 IPv6 地 址 由 1IPv6 地 址 前 缀 和 接口 1D 组 成 ，IPv6 地 址 前 缀 
用 来 标识 IPv6 网 络 ， 接 口 旧 用 来 标识 接口 。 


0 3180 


IPv6 地 址 压缩 格式 


2001:0DB8:0000:0000:0000:0000:0346:8D58 


2001:DB8:0:0:0:0:346:8D58 


2001:DB8::346:8D58 


e 每 一 组 中 的 前 导 “0” 都 可 以 省 略 。 
e 地 址 中 包含 的 连续 全 为 0 的 组 ， 可 以 用 双 冒 号 “:” 来 代 者 。 
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由 于 IPv6 地 址 长 度 为 128 比 特 ， 书 写 时 会 非常 不 方便 。 此 外 ，IPv6 地 址 

的 巨大 地 址 空间 使 得 地 址 中 往往 会 包含 多 个 0。 为 了 应 对 这 种 情况 ， 

IPv6 提 供 了 压缩 方式 来 简化 地 址 的 书写 。 压 缩 规则 如 下 : 

1， 每 16 比 特 组 中 的 前 导 0 以 省 略 。 

2， 地 址 中 包含 的 连续 两 个 或 多 个 均 为 0 的 组 ， 可 以 用 双 冒 号 “::” 来 代 
替 。 需 要 注意 的 是 ? 在 一 个 IPv6 地 址 中 只 能 使 用 一 次 双 冒 号 “::” ， 
否则 ， 设 备 将 压缩 后 的 地 址 恢复 成 128 位 时 ， 无 法 确定 每 段 中 0 的 个 


oo 


本 示例 展示 了 如 何 利用 压缩 规则 对 IPv6 地 址 进行 简化 表示 。 
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IPv6 地 址 分 类 


2000::/3 全 球 单 播 地 址 
2001:0DB8::/32 保留 地 址 
FE80::/10 链 路 本 地 地 址 
FF00::/8 组 播 地 址 
::/128 未 指定 地 址 
::1/128 环 回 地 址 








e |IPv6 地 址 分 为 单 播 地 址 、 任 播 地 址 、 组 播 地 址 三 种 类 型 。 
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目前 ，IPv6 地 址 空间 中 还 有 很 多 地 址 尚未 分 配 。 这 一 方面 是 因为 IPv6 有 
着 巨大 的 地 址 空间 ， 足 够 在 未 来 很 多 年 使 用 ， 另 一 方面 是 因为 寻 址 方案 
还 有 竺 发展， 同时 关于 地 址 类 型 的 适用 范围 也 多 有 值得 商 榨 的 地 方 。 
目前 ， 有 一 小 部 分 全 球 单 播 地 址 已 经 由 IANA (互联 网 名 称 与 数字 地 址 分 
配 机 构 ICANN 的 一 个 分 支 访 分 配给 了 用 户 。 单 播 地 址 的 格式 是 2000::/3 
， 代 表 公 共 IP 网 络 上 任意 可 及 的 地 址 。IANA 负 责 将 该 段 地 址 范围 内 的 地 
址 分 配给 多 个 区 域 互 联网 注册 管理 机 构 (RIR) 。RIR 负 责 全 球 5 个 区 域 
的 地 址 分 配 s 以 下 几 个 地 址 范围 已 经 分 配 : 2400::/12 (APNIC) 、 
2600:;/t2 MARIN) 、2800::/12 (LACNIC) 、2A00:y12 (RIPE NCC) 和 
2C00::/12、(AfriNIC)， 它 们 使 用 单一 地 址 前 缀 标识 特定 区 域 中 的 所 有 地 
址 2000::/3 地 址 范围 中 还 为 文档 示例 预 留 了 地 址 空间 ， 例 如 
2001:0DB8::/32。 

链 路 本 地 地 址 只 能 在 连接 到 同一 本 地 链 路 的 节点 之 间 使 用 。 可 以 在 自动 
地 址 分 配 、 邻 居 发 现 和 链 路 上 没有 路 由 器 的 情况 下 使 用 链 路 本 地 地 址 。 
以 链 路 本 地 地 址 为 源 地 址 或 目的 地 址 的 IPv6 报 文 不 会 被 路 由 器 转发 到 其 
他 链 路 。 链 路 本 地 地 址 的 前 绎 是 FE80::/10。 

组 播 地 址 的 前 缀 是 FF00:/8。 组 播 地 址 范围 内 的 大 部 分 地 址 都 是 为 特定 
组 播 组 保留 的 。 跟 IPv4 一 样 ，IPv6 组 播 地 址 还 支持 路 由 协议 。IPv6 中 没 
有 广播 地 址 。 组 播 地 址 奉 代 广 播 地 址 可 以 确保 报 文 只 发 送 给 特定 的 组 播 
组 而 不 是 IPv6 网 络 中 的 任意 终端 。 
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IPv6 还 包括 一 些 特殊 地 址 ， 比 如 未 指定 地 址 :/128。 如 果 没 有 给 一 个 接 
口 分 配 IP 地 址 ， 该 接口 的 地 址 则 为 :W128。 需 要 注意 的 是 ， 不 能 将 未 指 
定 地 址 跟 默 认 IP 地 址 :/0 相 混淆 。 默 认 IP 地 址 :/0 跟 IPv4 中 的 默认 地 址 
0.0.0.0/0 类 似 。 环 回 地 址 127.0.0.1 在 IPv6 中 被 定义 为 保留 地 址 ::1/128。 
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IPv6 单 播 地 址 


48 bits 16 bits 64bits 


001 Global Routing Prefix Subnet ID Interface ID 


| 


2001:0:130F::9C0:876A:130B 
e 全 球 单 播 地 址 带 有 固定 前 缀 ， 类 似 于 IPv4 中 的 公 网 地 址 。 


10bits 54bits 64bits 


1111111010 0 Interface ID 


FE80::387F:10FE:BE28 


e 链 路 本 地 单 播 地 址 前 缀 为 FE80::/10， 类 似 于 IPv4 中 的 秘 有 地 址 。 


SS 
$ 
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单 播 地 址 主要 包含 全 球 单 播 地 址 和 链 路 本 地 地 址 。 全 球 单 播 地 址 (例如 
2000:3) 带 有 固定 的 地 址 前 缀 从 即 前 三 位 为 固定 值 001。 其 地 址 结构 是 
一 个 三 层 结 构 ， 依 次 为 全 球 路 由 前 级 、 子 网 标识 和 接口 标识 。 全 球 路 由 
前 缀 由 RIR 和 互联 网 服务 供应 商 (ISP) 组 成 ，RIR 为 ISP 分 配 IP 地 址 前 


缀 。 


子 网 标识 定义 了 网 络 的 管理 子 网 。 


链 路 本 地 单 播 地 上 址 的 表 组 为 FE80:/10 ， 表 示 地 址 最 高 10 位 值 为 
1111111010。^ 前 缀 后 面 紧 跟 的 64 位 是 接口 标识 ， 这 64 位 已 足够 主机 接 
口 使 用 ， 因 而 链 路 本 地 单 播 地 址 的 剩余 54 位 为 0。 本 示例 展示 了 上 述 两 
种 单 播 地 址 类 型 。 
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IPv6 组 播 地 址 


8bits 4bits 4bits 112bits 


11111111 Flags Scope elieil ol 


FF02::1 链 路 本 地 范围 所 有 节点 


FF02::2 链 路 本 地 范围 所 有 路 由 器 


e 所 有 IPv6 组 播 地 址 都 以 FF 开始 。 
e |IPv6 为 需要 使 用 组 播发 送 数据 的 协议 预 留 了 一 些 组 播 组 。 
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IPv6 的 组 播 与 jPv4 相 同 ， 用 来 标识 一 组 接口 ， 一 般 这 些 接口 属于 不 同 的 
节点 。 一 个 节点 可 能 属于 0 到 多 个 组 播 组 。 目 的 地 址 为 组 播 地 址 的 报 文 
会 被 该 组 播 地 址 标识 的 所 有 接 加 接收 。 

一 个 IPv6 组 播 地 址 是 由 前 缀 \ ,标志 (Flag) 字段 、 范 围 (Scope) 字段 
以 及 组 播 组 ID (GroupMD ) 如 个 部 分 组 成 : 

1.， 前 级: IPv6 组 播 地 址 的 前 缀 是 FF00::/8 (1111 1111) 。 


2， 标 志 字段 《Flag) : 长 度 4bit， 目 前 只 使 用 了 最 后 一 个 比特 (前 三 位 
必须 置 0) 、 当 该 位 值 为 0 时 ， 表 示 当前 的 组 播 地 址 是 由 IANA 所 分 配 
的 一 个 永久 分 配 地 址 ; 当 该 值 为 {时 ， 表 示 当 前 的 组 播 地 址 是 一 个 临 
时 组 播 地 址 ( 非 永久 分 配 地 址 ) 。 

3、 范 围 字段 (Scope) : 长 度 4bit， 用 来 限制 组 播 数据 流 在 网 络 中 发 送 
的 范围。 

4， 组 播 组 ID (Group ID) : 长 度 112bit， 用 以 标识 组 播 组 。 目 前 ， 
RFC2373 并 没有 将 所 有 的 112 位 都 定义 成 组 标识 ， 而 是 建议 仅 使 用 
该 112 位 的 最 低 32 位 作为 组 播 组 ID ， 将 剩余 的 80 位 都 置 0， 这 样 ， 
个 组 播 组 ID 都 可 以 映射 到 一 个 唯一 的 以 太 网 组 播 MAC 地 址 ( 
RFC2464) 。 
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IPv6 任 播 地 址 





HTTP 
一 2001:0DB8::84C2 


2001 0DBa:adc& 


e 任 播 地 址 用 来 标识 一 组 网 络 接口 ， 在 给 多 个 主机 或 者 节点 提供 相同 服务 
时 提供 元 余 和 负载 分 担 。 
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任 播 地 址 标识 一 组 网 络 接口 (通常 属 宇 木 向 的 节点 ) 。 目 标 地 址 是 任 播 
地 址 的 数据 包 将 发 送 给 其 中 路 由 意义 上 最 近 的 一 个 网 络 接口 。 任 播 过 程 
涉及 一 个 任 播报 文 发 起 方 和 一 个 或 多 个 响应 方 。 任 播报 文 的 发 起 方 通常 
为 请 求 某 一 服务 (DNS 查找 )\ 的 主机 或 请 求 返 还 特定 数据 (例如 ， 
HTTP 网 页 信息 ) 的 主机 x 任 播 地 址 与 单 播 地 址 在 格式 上 无 任何 差异 ， 
唯一 的 区 别 是 一 全 设备 可 以 给 多 台 具 有 相同 地 址 的 设备 发 送 报 文 。 

企业 网 络 中 运用 任 播 地 址 有 很 多 优势 。 其 中 一 个 优势 是 业务 兄 余 。 比 如 
， 用 户 可 以 通过 多 人 台 使 用 相同 地 址 的 服务 器 获取 同一 个 服务 (例如 ， 
HTTP)<< 这 些 服务 器 都 是 任 播报 文 的 响应 方 。 如 果 不 是 采用 任 播 地址 
通信 》、 当 其 中 一 人 台 服 务 器 发 生 故障 时 ， 用 户 需 要 获取 另 一 台 服 务 器 的 地 
址 未 能 重新 建立 通信 。 如 果 采 用 的 是 任 播 地 址 ， 当 一 台 服 务 器 发 生 故障 
时 ， 任 播报 文 的 发 起 方 能 够 自动 与 使 用 相同 地 址 的 另 一 合 服务 器 通信 ， 
从 而 实现 业务 宛 余 。 

使 用 多 服务 器 接 入 还 能 够 提高 工作 效率 。 例 如 ， 用 户 〈 即 任 播 地址 的 发 
起 方 ) 浏览 公司 网 页 时 ， 与 相同 的 单 播 地 址 建立 一 条 连接 ， 连 接 的 对 端 
是 具有 相同 任 播 地 址 的 多 个 服务 器 。 用 户 可 以 从 不 同 的 镜像 服务 器 分 别 
下 载 html 文 件 和 图 片 。 用 户 利用 多 个 服务 器 的 带宽 同时 下 载 网 页 文件 ， 
其 效率 远 远 高 于 使 用 单 播 地 址 进行 下 载 。 
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IPv6 无 状态 地 址 自动 配置 








名 由 器 通告 (RA) 
< 一 











e 网 络 节点 向 相连 的 路 由 器 发 送 RS， 请 求 地址 前 缀 信息 。 
e 路 由 器 通过 发 送 路 由 器 通告 RA， 回 复 地址 前 缀 信息 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page15 7 HUAWEI 





IPv6 支 持 无 状态 地 址 自动 配置 ， 无 需 使 用 诸如 DHCP 之 类 的 辅助 协议 ， 
主机 即 可 获取 IPv6 前 级 并 自动 生成 接口 DD。 路 由 器 发 现 功能 是 IPv6 地 址 
自动 配置 功能 的 基础 ， 主 要 通过 以 下 两 种 报 文 实现 : 

RA 报 文 : 每 台 路 由 器 为 了 读 三 层 网 络 上 的 主机 和 其 它 路 由 器 知道 自己 的 
存在 ， 定 期 以 组 播 方 式 发 送 携带 网 络 配置 参数 的 RA 报 文 。RA 报 文 的 
Type 字段 值 为 134。 

RS 报 文 : 主机 接 入 网 络 后 可 以 主动 发 送 RS 报 文 。RA 报 文 是 由 路 由 器 定 
期 发 送 的 。 但 是 如 果 主 机 希望 能 够 尽快 收 到 RA 报 文 ， 它 可 以 立刻 主动 发 
送 RS 报 文 给 路 由 器 。 网 络 上 的 路 由 器 收 到 该 RS 报 文 后 会 立即 向 相应 的 
主机 单 播 回 应 RA 报 文 ， 告 知 主机 该 网 段 的 默认 路 由 器 和 相关 配置 参数 。 
RS 报 文 的 Type 字段 值 为 133。 
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EUI-64 规 范 


48 位 以 太 网 MAC 地 址 


< 24bits > 


010101 001010101 10010011 11010111 0110110011000011 


EUI-64 生 成 的 接口 ID 


二 一 一 24bits 一 一 > 所 -一 16bits 一 一 > 二 -一 24bits 一 -一 > 


010101 00101010 10010011 11010111 0110110011000011 


e 将 FFFE 插 入 MAC 地 址 的 前 24 位 与 后 24 位 之 间 ， 并 将 第 7 位 的 Q 改 为 1 即 
可 生成 接口 ID。 
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为 了 通过 IPv6 网 络 进行 通信 ， 各 接口 感 痪 获取 有 效 的 IPv6 地 址 ， 以 下 三 
种 方式 可 以 用 来 配置 |Pv6 地 址 的 接 丹 ID: 网络 管理 员 手 动 配置 ; 通过 系 
统 软件 生成 ; 采用 扩展 唯一 标识 符 (EUI-64) 格式 生成 。 就 实用 性 而 言 
，EUI-64 格 式 是 IPv6 生 成 接口 思 的 最 常用 方式 。IEEE EUI-64 标 准 采 用 
接口 的 MAC 地 址 生成 |Pv6 接 日 ID。MAC 地 址 只 有 48 位 ， 而 接口 ID 却 要 
求 64 位 。MAC 地 址 前 前 24 位 代表 厂商 ID ， 后 24 位 代表 制造 商 分 配 的 叭 
一 扩展 标识 。MAC 地 十 的 第 七 高 位 是 一 个 UL 位 ， 值 为 1 时 表示 MAC 地 
址 全 局 唯一 < 值 为 0 时 表示 MAC 地 址 本 地 唯一 。 在 MAC 地 址 向 EUI-64 格 
式 的 转换 过 程 中 ”在 MAC 地 址 的 前 24 位 和 后 24 位 之 间 插入 了 16 比 特 的 
FFFE， 并 将 U 儿 位 的 值 从 0 变 成 了 1， 这 样 就 生成 了 一 个 64 比 特 的 接口 ID 
， 扯 接口 必 的 值 全 局 唯一 。 接 口 ID 和 接口 前 级 一 起 组 成 接口 地 址 。 
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IPv6 无 状态 地 址 DAD 检 查 


邻居 通告 (NA) 


试验 地 址 


e 当 为 接口 配置 IPv6 地 址 时 ，DAD 用 来 在 本 地 链 路 范围 内 检测 将 要 使 用 的 
IPv6 地 址 是 否 唯一 。 
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设备 在 给 接口 分 配 IPv6 单 播 地 址 之 前 会 进行 重复 地 址 检测 (DAD) ， 确 
认 是 否 有 其 它 的 节点 使 用 了 该 地 址 六 尤其 是 在 地 址 自动 配置 的 时 候 ， 进 
行 DAD 检 测 是 很 必要 的 。 一 个 IPv6 单 播 地 址 在 分 配给 一 个 接口 之 后 且 通 
过 重复 地 址 检测 之 前 称 为 试验 地 址 ， 此 时 该 接口 不 能 使 用 这 个 试验 地 址 
进行 单 播 通信 ， 但 是 仍然 会 加 入 两 个 组 播 组 : ALL-nodes 组 播 组 和 
Solicited-node 组 播 组 。'Solicited-node 组 播 组 由 单 播 或 任 播 地 址 的 后 24 
位 加 上 地 址 前 级 FF02:0:0:0:0:1:FF00::/104 组 成 。 例 如 ， 本 示例 中 配置 
的 试验 地 扯 为 2000::1 ， 该 地 址 被 加 入 Solicited-node 组 播 组 
FFO2::1:FFOOYs 


IPv6 重 复 地 址 检测 技术 和 IPv4 中 的 免费 ARP 类 似 : 用 于 地 址 分 配 或 主机 
连接 网 络 时 检测 重复 的 IPv4 主 机 地 址 。 节 点 向 一 个 自己 将 使 用 的 试验 地 
址 所 在 的 Solicited-node 组 播 组 发 送 一 个 以 该 试验 地 址 为 请 求 的 目标 地 址 
的 邻居 请 求 (NS) 报 文 ， 如 果 收 到 茶 个 其 它 站 点 回应 的 邻居 通告 (NA 
) 报 文 ， 就 证 明 该 地 址 已 被 网 络 上 使 用 ， 节 点 将 不 能 使 用 该 试验 地 址 进 
行 通信 。 这 种 情况 下 ， 网 络 管理 员 需 要 手动 为 该 节点 分 配 另 外 一 个 地 址 


oo 


0 3270 


1. 


0 3280 


e 2001:0DB8:0000:0000:0000:0000:032A:2D70 ， 此 IPv6 地 址 压缩 到 最 


短 是 多 少 ? 


e IPv6 主 机 无 状态 地 址 自动 配置 的 过 程 是 什么 ? 
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地 址 2001:0DB8:0000:0000:0000:0000:032A:2D70 可 压缩 为 
2001:DB8::32A:2D70。 鉴 于 IPv6 近 平 无 限 的 地 址 空间 ， 两 个 或 多 个 
均 为 0 的 组 可 以 用 双 冒 号 来 显示 ， 但 是 双 冒 号 只 能 用 一 次 。 每 组 中 的 
前 导 0 都 可 以 省 略 ， 但 是 最 后 一 个 0 不 可 以 省 略 。 

IPv6 主 机 首先 通过 路 由 器 发 现 功能 来 获取 地 址 前 级 信息， 之 后 通过 
向 接口 已 有 的 48 比 特 MAC 地 址 中 插入 16 比 特 的 FFEE 生 成 接口 ID， 

在 生成 了 IPv6 地 址 后 会 通过 重复 地 址 检测 来 确认 地 址 是 否 唯一 。 


谢谢 


Www.huawel.com 
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IPv6 路 由 基础 





0 3300 


们 前 言 


在 企业 网 络 中 ，IPv6 技 术 的 应 用 越 来 越 普及 。IETF 组 织 针对 IPv6 网 络 制定 
了 两 种 路 由 协议 RIPng 和 OSPFv3。 
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(@ 学 习 目 标 


学 完 本 课程 后 ， 您 应 该 能 : 
e@ 掌握 RIPng 和 OSPFv3 的 工作 原理 
e 掌握 RIPng 和 OSPFv3 的 配置 
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2001:1::a/64 (loopback 0) 


RTA 


2001::1/64 | fe80::fecf:.e20f/64 fe80::fe03:c3fb/64 


= fo2:98a | 
[oz2:9s CJ 


fe80::fe03:e24f/64 2001::2/64 | fe80::fecf:94e/64 


2001:2::b/64 (loopback 0) 





e RIPng 发 送 路 由 更 新 的 目的 地 址 为 组 播 地 址 ff02::9/8。 
e RIPng 中 的 路 由 条 目下 一 跳 地 址 是 0::0 或 者 链 路 本 地 地 址 。 
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RIPng 是 为 IPv6 网 络 设计 的 下 一 代 距 离 矢 量 路 由 协议 。 与 早期 的 IPv4 版 
本 的 RIP 类 似 ，RIPng 同 样 遵循 距离 矢量 原则 。RlIPng 保 留 了 RIP 的 多 个 
主要 特性 ， 比 如 ，RlIPng 规 定 每 一 跳 的 开销 度量 值 也 为 1， 最 大 跳 数 也 为 
15。 

RIPng 与 RIP 的 最 主要 区 别 在 于 ，RIPng 使 用 了 IPv6 组 播 地 址 ff02::9 作 为 
目的 地 址 来 传送 路 由 更 新 报 文 ， 而 RIPv2 使 用 的 是 组 播 地 址 224.0.0.9。 

IPv4 路 由 协议 六 般 采 用 公 网 地 址 或 私 网 地 址 作为 路 由 条 目的 下 一 跳 地 址 
， 而 IPv6 路 由 协议 通常 采用 链 路 本 地 地 址 作为 路 由 条 目的 下 一 跳 地 址 。 
本 示例 中 的 两 台 路 由 器 位 于 同一 个 广播 网 段 ，RTA 和 RTB 的 loopback 0 
接 白 使 用 的 是 全 球 单 播 地 址 。 然 而 ，RTA 和 RTB 的 物理 接口 在 使 用 
RIPng 传 送 路 由 信息 时 ， 路 由 条 目的 下 一 跳 地 址 只 能 是 链 路 本 地 地 址 。 
例如 ， 如 果 RTA 收 到 的 路 由 条 目的 下 一 跳 地 址 为 fe80::fe03:e24f，RTA 
就 会 认为 目的 地 址 为 2001::b 的 网 络 可 达 。 需 要 注意 的 是 ， 如 果 采 用 的 是 
EUI-64 格 式 生成 的 接口 链 路 本 地 地 址 ， 替 换 接 口 板 后 ， 链 路 本 地 地 址 也 
会 随 着 发 生变 化 。 为 了 避免 这 种 情况 ， 可 以 手动 配置 链 路 本 地 地 址 。 
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RIPng 报 文 格式 





UDP RIPng 


0 8 
Command Version 


Route Table Entry 1 


Route Table Entry n 


IPv6 Prefix 


Route Tag Prefix Length Metric 


e RIPng 的 路 由 表 项 中 包含 目的 IPv6 地 址 、 路 由 标记 、 前 级 长 庆 以 及 度量 
值 。 
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RIPng 通 过 UDP 的 521 端 口 发 送 和 接收 路 由 信息 。 所 有 路 由 信息 更 新 报 
文 (包括 定期 发 送 报 文 和 主动 发 送 报 文 ) 都 是 在 发 送 方 和 接收 方 的 
RIPng 端 口 之 间 传 输 。 有 些 请 求 报 文 可 能 来 自 RIPng 端 口 以 外 的 其 它 端 
口 ， 但 是 报 文 会 被 转发 到 目标 设备 上 的 RIPng 端 口 。 

RIPng 报 头 的 Command 字 段 定 义 报 文 的 两 种 类 型 : 一 种 是 请 求 报 文 ; 另 
一 种 是 响应 报 文 。 

Version 字 段 指 的 是 RIPng 的 版 本 。 

每 个 RIPng 报 文 可 以 包含 一 个 或 多 个 路 由 表 项 (RTE) ， 每 个 路 由 表 项 
中 包含 县 的 网 络 前 缀 、 路 由 标记 、 前 缀 长 度 和 度量 值 。 
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RIPng 配 置 


2001:1::1/64 (loopback 0) 


fe80::fe03:c3fb/64 | Go/o/0 
fe80::fe03:e24f/64 | Go/o/o 


2001:2::1/64 (loopback 0) 


A-GigabitEthernet0/0/0]ipv6 enable 
yabitEthernet0/0/0]ipv6 address auto 
RTA-GigabitEthernet0/0/0]ripng 1 enable 
OPBack0] ipv6 enable 


ipv6 address 2001:1::1/64 





opBack0]ripng 1 enable 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. WD HUAWEI 


ipv6 enable 命 令 用 来 在 路 由 器 接口 芷 使 能 IPv6 ， 使 得 接口 能 够 接收 和 
转发 IPv6 报 文 。 接 口 的 IPv6 功 能 默认 是 去 使 能 的 。 

ipv6 address auto link-local 命 令 用 来 为 接口 配置 自动 生成 的 链 路 本 地 
地 址 。 

ripng process-id enable 命 令 用 来 使 能 一 个 接口 的 RIPng 路 由 协议 。 进 
程 ID 可 以 是 1 到 65535 之 间 的 任意 值 。 缺 省 情况 下 ， 接 口上 未 使 能 RIPng 
路 由 协议 。 
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配置 验证 





[RTA]display ripng 
Public vpn-instance 
RIPng process : 1 
Preference : 100 
Default-cost 0 
Maximum number of balanced paths : 8 


Update time 
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执行 display ripng 命 令 ， 可 以 查看 RIPng 进 程 实例 以 及 该 实例 的 相关 参 
数 和 统计 信息 。 从 显示 信息 中 可 以 看 出 ，RIPng 的 协议 优先 级 是 100， 
路 由 信息 的 更 新 周期 是 30 秒 。Number of routes in database 字 
段 显示 为 1， 表 明 RIPng 数 据 库 中 路 由 的 条 数 为 1。Total number of 
routes in ADV DB is 字段 显示 为 1|， 表 明 RIPng 正 常 工作 并 发 送 了 1 条 
由 更 新 信息 。 
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OSPFv3 


2001:1::a/64 (loopback 0) 2001:3::c/64 (loopback 0) 
RID: 3.3.3.3 


fe80::fe03:5499/64 


ffo2:58 “也 | 


fe80::fe03:ce78/64 fe80::fe03:28f5/64 


RID: 2.2.2.2 == RID: 4.4.4.4 


2001:2::b/64 (loopback 0) 2001:4::d/64 (loopback 0) 


e ff02::5 是 为 OSPFv3 路 由 协议 预 留 的 IPv6 组 播 地 址 。 
e OSPFv3 中 的 路 由 条 目下 一 跳 地 址 是 链 路 本 地 地 址 。 
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OSPFv3 是 运行 在 IPv6 网 络 的 OSPRF 协 议 2 运行 OSPFv3 的 路 由 器 使 用 物 
理 接口 的 链 路 本 地 单 播 地 址 为 源 地 址 来 发 送 OSPF 报 文 。 相 同 链 路 上 的 
路 由 器 互相 学 习 与 之 相连 的 其 它 路 由 器 的 链 路 本 地 地 址 ， 并 在 报 文 转发 
的 过 程 中 将 这 些 地 址 当成 不 一 跳 信息 使 用 ， 虚 链 路 的 场景 不 在 本 课程 的 
讨论 范围 内 。 

IPv6 中 使 用 组 播 地 址 ff02::5 来 表示 AllSPFRouters ， 而 OSPFv2 中 使 用 的 
是 组 播 地 址 224.0.0;5。 需 要 注意 的 是 ，OSPFv3 和 OSPFv2 版 本 互 不 兼 
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DR&BDR 


RID: 1.1.1.1 RID: 3.3.3.3 


Priority 0 (不 参与 DR&BDR 选 举 ) 


ff02::6/8 ”| 


Priority 1 


RID: 2.2.2.2 RID: 4.4.4.4 


e@ Router ID 在 OSPFv3 中 必须 手动 配置 。 
e 在 NBMA 和 广播 型 网 络 中 OSPFv3 选 举 DR 和 BDR 的 过 程 与 GSPFv2 相 似 。 
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Router1ID 在 OSPFv3 中 也 是 用 于 标识 路 由 器 的 。 与 OSPFv2 的 Router ID 
不 同 ，OSPFv3 的 Router ID 必须 手 玉 配置 ; 如 果 没 有 手工 配置 Router ID 
，OSPFv3 将 无 法 正常 运行 。OSRFv3 在 广播 型 网 络 和 NBMA 网 络 中 选 
举 DR 和 BDR 的 过 程 与 OSPFv2 相 似 。 

IPv6 使 用 组 播 地 址 FF02::6 表 示 AlIDRouters ， 而 OSPFv2 中 使 用 的 是 组 
播 地址 224.0.0.6。 
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基于 链 路 运行 


RID: 3.3.3.3 
2001:1::a/64 


2001:3::c/64 
(fe80::fe03:77a9/10) 


(fe80::fe03:5499/10) 


& 2001:2::b/64 2001:4::d/64 
(fe80::fe03:ce78/10) (fe80::fe03:28f5/10) 


RID: 4.4.4.4 


e OSPFv2 是 基于 网 络 运 行 的 ，OSPFv3 的 实现 是 基于 链 路 的 % 
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OSPFv3 是 基于 链 路 而 不 是 网 段 的 。 在 配置 OSPFv3 时 ， 不 需要 考虑 路 
由 器 的 接口 是 否 配置 在 同一 网 段 ， 具 要 路 由 器 的 接口 连接 在 同一 链 路 上 
， 就 可 以 不 配置 IPv6 全 局 地 址 而 直接 建立 联系 。 这 一 变化 影响 了 
OSPFv3 协 议 报 文 的 接收 rello 报 文 的 内 容 以 及 网 络 LSA 的 内 容 。 
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OSPFv3 认 证 





e OSPFv3 协 议 本 身 不 提供 认证 功能 ， 而 是 通过 使 用 IPv6 提 供 的 安全 机 制 
来 保证 OSPFv3 报 文 的 合法 性 。 
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OSPFv3 直 接 使 用 IPv6 的 扩展 头 部 ,、 (AH 和 ESP) 来 实现 认证 及 安全 处 理 
， 不 再 需要 OSPFv3 自 身 来 完成 认证 。 
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OSPFv3 配 置 


fe80::1 | Go/o/0 fe80::2 | Go/0/0 
RTA RID: 1.1.1.1 RTB 2 和 2 


2001:1::1/64 (loopback 0) 2001:2::1/64 (loopback 0) 
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ipv6 命 令 用 来 使 能 路 由 器 的 IPv6 功 能 必要 在 路 由 器 上 运行 OSPFV3 协 议 

， 首 先 必须 使 能 IPv6 功 能 。 

ospfv3 [process-id ] 命 令 用 来 创 运行 OSPFv3 进 程 ，process-id 取 值 

范围 是 1~65535。 如 果 不 指定 进程 号 ， 缺 省 使 用 进程 号 1。 

router-id router-id 命 令 OS 

ipv6 enable 命 令 用 来 在 路 由 器 接口 上 使 能 IPv6， 使 得 接口 能 够 接收 和 

转发 IPv6 报 文江 接口 的 IPv6 功 能 默认 是 去 使 能 的 。ipv6 <link local 

address~\link=local 命 令 用 来 手动 为 接口 配置 链 路 本 地 地 址 。 

ospfv3 process-id area area-id 命 令 用 来 在 接口 上 使 能 OSPFv3 的 进程 
， 并 指定 所 属 区 域 。 

六 示 订 中 ， 路 由 器 RTA 的 loopback 接 口 和 GigabitEthernet0/0/0 接 

昌都 启用 OSPEFv3 进 程 ， 并 且 都 属于 区 域 0。 
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配置 验证 


生生 人 5 
oute Tag: 0 
Multi-VPN-Instance is not enabled 
SPF Intelligent Timer[mil1lise 
LSA Intelligent Timer[millisecs] 


LSA Arrival interval 1000 millisecs 


r of FULL neighbors 1 





r of Exchange and Loading neighbors 0 
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竹 邻 居 路 由 器 上 完成 OSPFv3 配 置 后 心 执行 display ospfv3 命 令 可 以 验 
证 OSPFv3 配 置 及 相关 参数 。 愉 显示 信息 中 可 以 看 到 正在 运行 的 
OSPFv3 进 程 为 1，Router ID 为 1.1.1.1，Number of FULL neighbors 值 
为 1。 
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e RIPng 用 来 接收 路 由 更 新 的 端口 号 是 多 少 ? 
e OSPFv3 用 来 唯一 标识 一 台 路 由 器 的 参数 是 什么 ? 
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1，RIPng 通 过 UDP 端口 号 521 接 收 其 它 路 由 器 发 送 的 路 由 更 新 。 
2. Router ID 用 于 唯一 标识 一 合 运行 OSPFv3 协 议 的 路 由 器 。 
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谢谢 


www.huaweil.com 
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DHCPv6 原 理 与 配置 
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俏 前 言 


主机 在 运行 IPv6 时 ， 可 以 通过 使 用 无 状态 地 址 自动 配置 或 DHCPv6 协 议 来 
获取 IPv6 地 址 。1IPv6 动 态 主 机 配置 协议 DHCPv6(Dynamic Host 


Configuration Protocol for IPv6) 采 用 了 客户 端 /服务 器 通信 模式 ， 是 针对 
IPv6 编 址 方案 设计 的 、 为 主机 分 配 IPv6 地 址 和 其 他 网 络 配置 参数 的 协议 。 
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侈 兰 习 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
e 掌握 DHCPv6 的 工作 原理 
e@ 掌握 DHCPv6 的 配置 
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DHCPv6 基 本 概念 


DHCPv6 客 户 端 A 


三 Port 546 
嘱 Ee DHCPv6 服 务 器 


Port 547 
DHCPv6 客 户 端 B 


e DHCPv6 能 够 为 主机 分 配 IPv6 地 址 以 及 其 他 网 络 配置 参数 ， 并 能 够 实现 
这 些 参 数 的 集中 管理 。 
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主机 在 运行 IPv6 时 ， 可 以 通过 使 用 无 状态 地 址 自动 配置 或 DHCPv6 协 议 
来 获取 IPv6 地 址 。 

主机 使 用 无 状态 地 址 自动 配置 方案 来 获取 IPv6 地 址 时 ， 路 由 器 并 不 记录 
主机 的 IPv6 地 址 信息 ， 本 管理 性 差 ; 另外 ，IPv6 主 机 无 法 获取 DNS 服务 
器 地 址 等 网 络 配 置信 息 $ 在 可 用 性 上 也 存在 一 定 的 缺陷 。 

DHCPv6 属 于 一 种 有 状态 地 址 自动 配置 协议 。 在 有 状态 地 址 配置 过 程 中 
，DHCPv6 服 务 器 为 主机 分 配 一 个 完整 的 IPv6 地 址 ， 并 提供 DNS 服 务 器 
地 址 等 其 他 配置 信息 。 此 外 ，DHCPv6 服 务 器 还 可 以 对 已 经 分 配 的 IPv6 
地 址 和 客户 端 进 行 集中 管理 。 

DHCPv6 服 务 器 与 客户 端 之 间 使 用 UDP 协议 来 交互 DHCPv6 报 文 ， 客 户 
端 使 用 的 UDP 端口 号 是 546， 服 务 器 使 用 的 UDP 端口 号 是 547。 
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DHCPv6 基 本 概念 


DHCPv6 中 继 





DHCPv6 客 户 庙 DHCPv6 服 务 器 


目的 地 址 : ff02::1:2 


fe80::20ac:3e96:eaf4/64 


@ 客户 端 发 送 请 求 报 文 向 DHCPv6 服 务 器 申请 IPv6 地 址 ， 目 的 地 址 为 组 播 
地 址 ff02::1:2 。 
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DHCPv6 基 本 协议 染 构 中 ， 主 要 包括 以 下 三 种 角色 : 

1. DHCPv6 客 户 端 : 通过 与 DHCPVY6 服 务 器 进行 交互 ， 获 取 |IPv6 地 址 / 
前 缀 和 网 络 配 置信 息 ， 完 成 自身 的 地 址 配置 功能 。 

2. DHCPVv6 中 继 : 负责 转发 来 自 客户 端 方向 或 服务 器 方向 的 DHCPV6 
报 文 ， 协 助 DHEPv6 客 户 端 和 DHCPv6 服 务 器 完成 地 址 配置 功能 。 
只 有 当 DHCPV6 客 户 端 和 DHCPv6 服 务 器 不 在 同一 链 路 范围 内 ， 或 
者 DHCPv6 客 户 端 和 DHCPv6 服 务 器 无 法 单 播 交 互 的 情况 下 ， 才 需 
要 DHCPV6 中 继 的 参与 。 

3. DHCRv6 服 务 器 : 负责 处 理 来 自 客 户 端 或 中 继 的 地 址 分 配 、 地 址 续 
租 \ 地 址 释放 等 请 求 ， 为 客户 端 分 配 IPv6 地 址 /前 级 和 其 他 网 络 配置 
言 息 。 

客户 端 发 送 DHCPv6 请 求 报 文 来 获取 IPv6 地 址 等 网 络 配置 参数 ， 使 用 的 

源 地 址 为 客户 端 接口 的 链 路 本 地 地 址 ， 目 的 地 址 为 ff02::1:2。ff02::1:2 表 

示 的 是 所 有 DHCPv6 服 务 器 和 中 继 ， 这 个 地 址 是 链 路 范围 的 。 
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DHCPv6 基 本 概念 


DUID: 00:01:00:06:51:81:03:c0:f0:de:f1:b8:e1:4d 
DUID: 00:03:00:01:00:e0:fc:03:14:f1 


DUID: 00:01:00:06:50:e2:97:80:f8:1d:4f:a6:21:7f 


e DUID 用 来 标识 一 台 DHCPv6 服 务 器 或 客户 端 。 
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DHCP 设 备 唯一 标识 符 DUID (DHCPY6JUnique Identifier) 用 来 标识 一 
台 DHCPv6 服 务 器 或 客户 端 。 每 个 DHCPv6 服 务 器 或 客户 端 有 且 只 有 一 
个 DUID。 

DUID 采 用 以 下 两 种 方式 生成 : 

1， 基 于 链 路 层 地 址 X(LHE) : 即 采 用 链 路 层 地 址 方式 来 生成 DUID。 


2. 基于 链 路 层 地 址 与 时 间 组 合 (LLT) : 即 采用 链 路 层 地 址 和 时 间 组 合 
方式 来 生成 DUID。 


0 350D0 


DHCPV6 


路 由 器 通告 (RA) 
0 
IPv6 安 户 闹 0 DHCPv6 服务 器 


ee 


e 路 由 通告 RA 中 的 M 和 0 为 被 置 位 为 1。 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Vb HUAWEI 


DHCPv6 分 配 地 址 时 又 分 为 : 


1. DHCPv6 有 状态 自动 分 配 ; DHGCPv6 服 务 器 为 客户 端 分 配 IPv6 地 址 
及 其 他 网 络 配置 参数 (如 DNS NIS、SNTP 服 务 器 地 址 等 ) 。 


2. DHCPv6 无 状态 自动 分 配 : 主机 的 IPv6 地 址 仍然 通过 路 由 通告 方式 
自动 生成 ，DHGPv6 服 务 器 只 分 配 除 IPv6 地 址 以 外 的 配置 参数 (如 
DNS、NIS、SNTP 服 务 器 等 ) 。 

DHCPv6 客 户 端 在 向 DHCPv6 服 务 器 发 送 请 求 报 文 之 前 ， 会 发 送 RS 报 文 

， 在 同一 链 路 范围 的 路 由 器 接收 到 此 报 文 后 会 回复 RA 报 文 。 在 RA 报 文 

中 包含 管理 地 址 配置 标记 (M) 和 有 状态 配置 标记 (O) 。 当 M 取 值 为 1 

时 和 启用 DHCPv6 有 状态 地 址 配置 ， 即 DHCPv6 客 户 端 需要 从 DHCPv6 

服务 器 获取 IPv6 地 址 ， 取 值 为 0 则 启用 IPv6 无 状态 地 址 自动 分 配方 案 。 

当日 取 值 为 1 时 ， 用 来 定义 客户 端 需要 通过 有 状态 的 DHCPv6 来 获取 其 它 

网 络 配置 参数 ， 如 DNS、NIS、SNTP 服 务 器 地 址 等 ， 取 值 为 0 则 启用 

IPv6 无 状态 地 址 自动 分 配方 案 。 
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DHCPv6 有 状态 自动 分 配 


= 


DHCPv6 客 户 端 DHCPv6 服 务 器 


Solicit 
Adervertise 


Request 
一 


Reply 
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DHCPv6 四 步 交 互 地 址 分 配 过 程 如 下 : 


1. 


2. 


3. 
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DHCPv6 客 户 端 发 送 Solicit 报 文 六 请 求 DHCPv6 服 务 器 为 其 分 配 I|Pv6 
地 址 和 网 络 配置 参数 。 

DHCPv6 服 务 器 回复 Advertise 报 文 ， 该 报 文中 携带 了 为 客户 端 分 配 
的 IPv6 地 址 以 及 其 它 网 络 配置 参数 。 

DHCPv6 客 户 端 如 果 接 收 到 了 多 个 服务 器 回复 的 Advertise 报 文 ， 则 
会 根据 Advertise 报 文中 的 服务 器 优先 级 等 参数 来 选择 优先 级 最 高 的 
一 人 台 服 务 器 ,了 并 向 所 有 的 服务 器 发 送 Request 组 播报 文 。 


.被 选 定 的 DHCPv6 服 务 器 回复 Reply 报 文 ， 确 认 将 IPv6 地 址 和 网 络 配 


置 参数 分 配给 客户 端 使 用 。 





DHCPv6 无 状态 自动 分 配 


DHCPv6 客 户 端 DHCPv6 服 务 器 


Information-Request 
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DHCPv6 无 状态 工作 过 程 如 下 : 


1. 


DHCPv6 客 户 端 以 组 播 方式 向 DHCPv6 服 务 器 发 送 Information- 
Request 报 文 ， 该 报 文中 携带 Option Request 选 项 ， 用 来 指定 
DHCPv6 客 户 端 需要 从 DHCPv6 服 务 器 获取 的 配置 参数 。 
DHCPv6 服 务 器 收 到 Jnformation-Request 报 文 后 ， 为 DHCPv6 客 户 
端 分 配 网 络 配置 参数 ， 并 单 播发 送 Reply 报 文 ， 将 网 络 配置 参数 返回 
给 DHCPv6 客 户 端 。 

DHCPVv6 客 户 端 根 据 收 到 的 Reply 报 文中 提供 的 参数 完成 DHCPv6 客 
户 端 无 状态 配置 。 
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DHCPv6 配 置 


G0/0/0 
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dhcpv6 duid { 中 | llt } 命 令 可 以 用 来 指定 DUID 格 式 为 DUID-LL 或 DUID- 
LLT。 缺 省 情况 下 ，ARG3 系 列 路 由 器 采用 的 DUID 格 式 是 DUID-LL。 当 
使 用 DUID-LLT 格 式 时 ， 时 间 戳 值 引 用 的 是 从 执行 dhcpv6 duid lt 命令 
的 时 间 点 开始 计算 的 时 间 。 

可 以 使 用 display dhcpv6sduid 命 令 来 验证 当前 使 用 的 DUID 格 式 以 及 
DUID 值 。 
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DHCPv6 配 置 


G0/0/0 
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dhcpv6 pool pool-name 命 令 用 来 创建 IPV6 地 址 池 或 进入 到 IPv6 地 址 池 
视图 。 

address prefix ipv6-prefix/ipx6-prefix-length 命 令 用 来 在 IPv6 地 址 池 视 
下 绑 定 IPv6 地 址 前 缀 oIPDv6-prefix/ipv6-prefix-length 用 来 指定 IPv6 地 
址 池 绑 定 的 网 络 前 级 和 前 缀 长 度 。 

excluded-address ‘start-ipv6-address [to end-ipv6-address| 命 令 用 来 
配置 IPv6 地 址 池 中 不 参与 自动 分 配 的 IPv6 地 址 范围 。 

dns-server pv6-aaoress 命 令 用 来 配置 DNS 服务 器 的 IPv6 地 址 。 
dns-domain-name ons-oaomain-narme 命 令 用 来 配置 为 DHCPv6 客 户 端 
分 配 的 域名 后 缀 。 
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DHCPv6 配 置 


G0/0/0 


e GigabitEthernet 0/0/( 
RTA-GigabitEthernet0/0/0]ipv6 enable 
RTA-GigabitEthernet0/0/0]ipv6 address 3000;: 


RTA-GigabitEthernet0/0/0]dhcpv6é server pooll 
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dhcpv6 server pool/-name 命 令 用 来 在 接口 下 配置 DHCPv6 服 务 器 功能 
，pool-name 用 来 指定 接口 下 配置 的 DHCPv6 地 址 池 名 称 。 
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配置 验证 
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display dhcpv6 pool 命 令 用 来 查看 BHCPv6 服 务 器 上 配置 的 地 址 池 信 
息 。 

本 例 中 ，RTA 上 有 一 个 DHCPV6 地 址 池 ， 该 地 址 池 关 联 的 地 址 前 缀 为 
3000::1/64， 生 存 周期 劣 4%72800 秒 ， 即 两 天 ( 缺 省 情况 下 ， 生 存 周 
期 是 86,400 秒 或 1 天 ) & 在 必要 的 情况 下 ， 可 以 在 IPv6 地 址 池 视 图 下 使 
用 information-refresh 命 令 重 新 配置 其 它 配置 信息 。 对 于 处 在 活跃 状态 
的 客户 端 从 DHCPv6 服 务 器 租用 的 IPv6 地 址 ， 可 以 查看 相关 的 信息 统计 


oo 
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e ARG3 系 列 路 由 器 生成 DUID 的 方式 有 哪些 ? 
e 如 果 主 机 收 到 的 路 由 器 通告 信息 中 M 和 OQ 位 被 置 1, 主 机 将 如 何 操作 ? 
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ARG3 系 列 路 由 器 支持 DUID-LL 和 DUID-LLT 格 式 生成 DUID。 

2.， 当 接收 到 携带 M 和 O (比特 值 均 为 1) 的 RA 报 文 时 ， 主 机 将 主动 发 现 
DHCPv6 服 务 器 用 于 有 状态 地 址 配置 。 配 置信 息 包括 IPv6 地 址 和 其 
它 配置 参数 ， 例 如 地 址 前 级 和 DNS 服务 器 地 址 等 。 
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谢谢 


Www.huawel.com 
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华为 职业 认证 通过 者 权 葵 


通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (h1Wp;/Aleormming.huawei.com/cn) 1 享有 如 下 特权 : 
。 1、 华 为 E-learning 课程 学 习 
0 ” 内容: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
o 方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emalil 地 址 ”到 LeQ 和 WGg@huyawei.com 内 优 权 谍 。 
。 2、 华 为 培训 教材 下 载 
0 内容 : 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 闵 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 ”方式 : 登录 从 为 存 比 学 习 艳 芯 ， 进 入 “从 为 退 训 -> 顾 授 地 加 ， 人 在 具体 课程 页 面 即 可 下 载 教 材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参 与 
0” 内容: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
o 方式 : 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.hnuawei.com/leotniNg/NavigationA ction!lcreateNavi#navilid]=_16 
。 4、 学习 工具 eNSP 
o ENSP/Eniterorise NetWork Simulation Platforml, 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈 现 真实 设备 实景 ; 同时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 ”另外 , 华为 建立 了 知识 分 享 平 台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 




















HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 1 KD HUAWEI 


